GitHub上值得关注的20个网络安全项目

安全牛发布于 2023-06-12 16:01:55

在网络安全领域，有许多开源的安全工具和项目可供企业安全团队和分析师们使用，而发现先进开源网络安全项目的一个有效方法就是在 GitHub 中进行针对性的搜索和查询。有数据显示，目前在 GitHub 中已经存在了数千个和网络安全主题相关的项目，全面覆盖了漏洞扫描、威胁检测、网络监控以及密码技术应用等多个方面，可以有效帮助企业组织保护数字化业务和资产的安全。

借助这些开源工具，企业在网络安全建设时可以实现更好的成本收益，因为这些网络安全项目会由专门的贡献者开发和维护，并提供有价值的工具、框架和资源来推动其更好地实践应用。根据项目的星级和关注度，国外安全研究机构收集整理了目前 GitHub 上较热门的 20 个网络安全项目。

ATT&CK Navigator 

ATT&CK Navigator 项目旨在帮助用户以类似 Excel 的方式，导航和注释 ATT&CK 矩阵。它提供了一种可视化防御覆盖、监控红 / 蓝队活动和跟踪技术频率的方法，用户只需要便捷操作矩阵中的单元格即可使用，例如添加注释或着色编码。该项目的主要特征是能够创建被称为 “层”（Layer）的自定义视图，以提供基于 ATT&CK 知识库的个性化透视图。“层” 可以交互方式或编程方式创建，然后使用 Navigator 进行可视化。

Cryptomator

Cryptomator 是一个开源多云（multi-platform）安全服务项目，为存储在云中的文件提供客户端加密。不同于许多云提供商通常只在传输过程中加密数据或自己保留解密密钥，Cryptomator 项目确保只有最终用户才能够拥有其数据的密钥。这种方法可以将密钥盗窃、复制或滥用的风险降至最低。此外，Cryptomator 还允许用户从他们的个人终端设备访问远程工作所需的各类企业文件。

Cutter

Cutter 是一个免费的开源逆向安全工程项目，使用了 Rizin 作为其核心引擎。这使用户能够通过图形用户界面（GUI）或第三方集成终端进行功能访问。Cutter 项目还提供了广泛的小组件和功能，大大提高了逆向工程研究中的舒适度。它的公开发行版与本地 Ghidra 反编译器完全集成，从而消除了使用者对 Java 工具的需求。

Dismap

Dismap 是一种用于企业数字化资产发现和识别的工具，主要适用于 Web、TCP 和 UDP 等协议。它可以检测多种资产类型，并适用于组织的内部网络和外部网络。Dismap 可以协助红队人员识别潜在的风险资产，并支持蓝队人员检测可疑的脆弱资产。

在 Dismap 的指纹规则库中，全面包含了 TCP、UDP 和 TLS 协议指纹，以及超过 4500 条常见的 Web 指纹规则。这些规则有助于识别文件中的图标、正文、页眉和其他相关组件等元素。

Faraday

Faraday 是一个开源的漏洞管理器项目，旨在帮助安全分析师发现漏洞并进行相关的修复工作。它提供了一个统一的平台来帮助安全专业人员更好地发现漏洞，还可以简化组织工作的过程。Faraday 主要通过终端设备使用，允许用户在多用户环境中利用第三方工具。

Faraday 的一个关键特征是它能够以标准化的模式集成到各类应用，并且访问其中的数据。这使网络安全管理人员和分析师能够通过第三方可视化工具来分析数据，以强化对漏洞的理解，并帮助决策过程。

Hayabusa 

Hayabusa 是一个 Windows 事件日志快速取证和威胁狩猎工具。它是用 Rust 编程语言实现的，并结合了多线程技术来优化运行速度。该工具还具有将 Sigma 规则转换为 Hayabusa 规则格式的功能。在实际应用中，使用者可以用 YAML 编写与 Hayabusa 兼容的检测规则，因此可以非常轻松地定制和扩展。Hayabusa 可以以多种方式使用，包括对单个系统进行实时分析和离线分析，或者与 Velociraptor 一起用于企业范围的威胁搜索和事件响应。Hayabusa 输出的报告可以被轻松整合到单个 CSV 时间轴中，便于在 LibreOffice、timeline Explorer、Elastic Stack、Timesketch 等流行工具中进行分析。

 ImHex

ImHex 是一个十六进制的数据编辑器工具，主要用于显示、解码和分析二进制数据，以逆向工程其格式，提取其中的信息或补丁值，该项目有许多高级功能：完全自定义的二进制模板和模式语言，可用于解码和突出显示数据中的结构；基于图形节点的数据处理器，可用于在显示值之前对其进行预处理；提供差分支持、书签等功能。同时，ImHex 在 GPLv2 许可下是完全免费和开源的。

Kubescape

Kubescape 是一个开源的 Kubernetes 安全平台，适用于 IDE、CI/CD 管道和集群。它提供了诸如风险分析、安全评估、遵从性检查和错误配置检测等功能。Kubescape 可以扫描各种组件，包括集群、YAML 文件和 Helm 图。它还利用了多个框架，如 NSA-CISA、MITRE ATT&CK 和 CIS Benchmark 来识别错误配置。

Matano

Matano 是一个开源的云原生安全资源池平台，可以作为传统网络安全信息和事件管理（SIEM）的替代方案。它支持在 AWS 公有云平台上进行大规模 pb 级的威胁搜索、检测、响应和网络安全分析。通过使用 Matano 项目，用户可以应用基于摄取方法的 S3（简单存储服务）或 SQS（简单队列服务）收集数据。它可以预先配置数据源，如 CloudTrail、Zeek 和 Okta，还可以自动从所有 SaaS 数据源检索日志数据。

Malwoverview

Malwoverview 是一个用于威胁搜索的工具。它旨在提供恶意软件样本、URL、IP 地址、域名、恶意软件家族、威胁妥协指标（IOC）和哈希的初始和快速评估。它可以为用户生成动态和静态的行为分析报告，并允许用户从不同的端点提交和下载示例。它还可以作为已建立沙箱的客户端，实现对潜在威胁的更深入分析。

Metasploit Framework

Metasploit Framework 是一个基于 Ruby 的模块化渗透测试平台，允许用户编写、测试和执行漏洞利用代码。由于该项目包含一套用于测试安全漏洞、网络枚举、攻击执行和检测逃避的工具，因此本质上看，它是一个广泛应用的网络安全工具集合，可以为渗透测试和漏洞利用开发提供一个完整的测试环境。

MISP

MISP 是一个开源软件解决方案，主要用于收集、存储、分发和共享与网络安全事件相关的指标数据和威胁视图。它可以为事件分析师、安全和 ICT 专业人员或恶意软件逆向工程员提供很多帮助，以支持他们的日常操作，并有效地共享结构化信息。

MISP 项目的主要目标是促进安全社区内外的结构化信息共享。它提供了各种安全功能，使网络入侵检测系统（NIDS）、基于日志的入侵检测系统（LIDS）、日志分析工具和 SIEM 系统等能够非常快捷地交换信息和利用信息。

Nidhogg

Nidhogg 是一个为安全红队设计的 rootkit 工具，提供各种功能来支持红队的实战化工作。它是一个集所有功能于一身且用户友好的 rootkit，可以被轻松集成到用户的 C2 框架中。Nidhogg 可以兼容 x64 版本的 Windows 10 和 Windows 11，其数据存储库包括一个内核驱动程序和一个用于通信的 C++ 标头文件。

RedEye

RedEye 是由 CISA 和美国能源部西北太平洋国家实验室联合创建的开源安全分析工具。它的目的是支持红队分析和报告 C2 活动。它可以帮助安全运营人员评估缓解策略，将复杂的数据可视化，并根据红队的评估结果做出明智的决策。该工具可以帮助用户更好地解析日志，特别是由 Cobalt Strike 生成的日志，并以易于理解的方式呈现数据。用户能够轻松对工具中显示的活动进行标记和评论，从而增强协作和分析。RedEye 还提供了一种展示模式，允许用户向利益相关者展示他们的发现和工作流程。

SpiderFoot

SpiderFoot 是一个开源智能自动化（OSINT）工具，可以集成多种数据源，采用多种数据分析方法，便于对收集到的信息进行综合分析和使用。SpiderFoot 是一个嵌入式的 web 应用服务，提供了一个非常友好的、基于 Web 的用户交互界面。另外，用户也可以完全通过命令行操作它。该工具是用 Python 3 编写的，并在 MIT 许可下发布。

System Informer

System Informer 是一个免费的多功能开源安全工具，可以帮助用户监控系统运行资源、调试软件功能和检测恶意软件。它的主要应用特点包括： 

• 清楚的概述正在运行的进程和资源使用情况；

• 详细的系统信息和图表；

• 提供标准化的查看和编辑服务；

• 大量对调试和分析软件有用的其他特性。

Tink

Tink 是由 Google 的密码学专家和安全工程师共同开发的开源加密数据库。它提供了安全并友好的应用 API，可以通过以用户为中心的设计方法、仔细代码审查以及完整的应用测试，最大限度地减少了使用中的常见错误。Tink 项目的初衷就是帮助没有密码学背景的用户安全地使用密码技术，它已经被部署在谷歌的许多产品和系统中。

Vuls 

Vuls 是一个无代理的安全漏洞扫描工具，可以针对 Linux、FreeBSD、Container、WordPress 以及各种网络设备进行安全漏洞的检测和分析。在实际使用时，Vuls 具有以下特点：

• 全面识别系统漏洞；

• 提供受影响应用的完整信息；

• 可以自动化方式进行漏洞检测；

• 使用 CRON 等方法定期报告漏洞管理整体情况 。

Wazuh

Wazuh 是一个免费的开源威胁检测和响应平台，提供关于威胁的预防、检测和响应功能。它可用于保护各种环境中的工作负载安全，包括内部部署、虚拟化、容器化和基于云的设置。

Wazuh 有两个主要功能组件：端点安全代理和管理服务器，其中端点安全代理主要安装在被监视的系统上，负责收集与安全相关的数据；管理服务器负责接收代理收集的数据并对其进行分析。Wazuh 目前已经与 Elastic Stack 完全集成，提供了一个搜索引擎和数据可视化工具。这种集成允许用户浏览他们的安全警报，并从收集的数据中获得洞察力。

x64dbg

x64dbg 是一个为 Windows 操作系统设计的开源二进制调试器。它侧重于在缺少源代码的情况下对恶意软件的分析和可执行文件的逆向工程。

x64dbg 的主要应用特性包括： 

• 可定制性：用户可以用 c++ 编写插件，自定义颜色，并根据自己的需要调整首选项；

• x64/x32 支持：它可以处理 x64 和 x32 应用程序，为调试提供统一的接口；

• 基于开源库：广泛使用了 Qt、TitanEngine、Zydis、Yara、Scylla、Jansson、lz4、XEDParse、asmjit 和 snowman； 

• 开发简单：该项目使用 C++ 和 Qt 开发的，可以有效地添加新功能； 

• 脚本属性：x64dbg 具有集成的、可调试的类 ASM 脚本语言； 

• 社区意识：x64dbg 的许多特性都是由逆向工程社区发起或实现的；

• 可扩展性：用户可以创建插件来添加自定义脚本命令或集成外部工具。