GitHub最值得关注的20个开源安全项目

网络安全与开源有着不解之缘，除了商业安全产品中使用的大量开源代码外，网络安全行业大量网络安全框架、工具、方法、模型甚至情报都已开源方式分享和发展。开源安全项目对于推动网络安全技术的创新和标准化正发挥着越来越重要的作用。

以下，我们整理了20个在GitHub上开源的20个开源安全项目，覆盖从漏洞扫描和网络监控、加密和事件响应的各个领域，可帮助个人和企业更好地保护其数字资产：

ATT&CK Navigator

ATT&CK Navigator是ATT&CK矩阵的导航和注释工具，使用方法类似于Excel。它提供了一种可视化防守覆盖范围、以及计划和跟踪红/蓝团队活动和技术的方法。它还支持用户操作矩阵单元格，例如添加注释或颜色编码。

ATT&CK Navigator的主要功能是创建自定义图层，提供ATT&CK知识库的个性化视角。用户可通过交互方式或编程方式创建图层，然后使用导航器进行可视化。

地址：

https://github.com/mitre-attack/attack-navigator

Cryptomator

Cryptomator是一个开源跨平台工具，为存储在云中的文件提供客户端加密。

与许多云提供商提供的加密服务不同（云提供商通常仅在传输过程中加密数据或保留解密密钥本身），Cryptomator确保只有用户拥有其数据的密钥。这种方法可将密钥被盗、复制或滥用的风险降至最低。

Cryptomator还支持用户从任何设备访问他们的文件。

地址：

https://github.com/cryptomator/cryptomator

Cutter

Cutter是一个免费的开源逆向工程平台，使用Rizin作为其核心引擎。这使用户能够通过图形用户界面（GUI）或集成终端访问众多功能。

Cutter提供了大量小组件和功能，以提高逆向工程过程的舒适性。它的版本与原生的Ghidra反编译器完全集成，不再需要Java技能。

地址：

https://github.com/rizinorg/cutter

Dismap

Dismap是一个资产发现和识别工具，支持Web、TCP和UDP等协议，可检测各种资产类型，适用于内部和外部网络。Dismap能协助红队人员识别潜在风险资产，并支持蓝队人员检测可疑的脆弱资产。

Dismap的指纹规则库包含TCP、UDP和TLS协议指纹，以及4500多个Web指纹规则。这些规则有助于识别元素，例如网站图标、正文、标题和其他相关组件。

地址：

https://github.com/zhzyker/dismap

Faraday

Faraday是一个开源漏洞管理器，可帮助安全专业人员专注于查找漏洞，同时简化组织他们的工作过程。

法拉第的主要功能之一是能够聚合和规范化加载到其中的数据。这使管理人员和分析师能够通过各种可视化来探索数据，从而有助于更好地了解漏洞并有助于决策过程。

地址：

https://github.com/infobyte/faraday

Hayabusa

Hayabusa是一个Windows事件日志快速取证时间线生成器和威胁狩猎工具。它是用Rust编程语言实现的，并结合了多线程来优化其速度。该工具包括将Sigma规则转换为Hayabusa规则格式的功能。

与Hayabusa兼容的检测规则是用YAML编写的，可以轻松自定义和扩展。Hayabusa可以以多种方式使用，包括对单个系统的实时分析，通过从单个或多个系统收集日志进行离线分析，或与Velociraptor组合使用，进行企业范围的威胁搜寻和事件响应。

Hayabusa输出的信息被整合到一个CSV时间轴中，便于在LibreOffice、Timeline Explorer、Elastic Stack、Timesketch等流行工具中进行分析。

地址：

https://github.com/infobyte/faraday

ImHex

ImHex是一个十六进制编辑器：一种显示、解码和分析二进制数据的工具，以对其格式进行逆向工程，提取信息或打补丁。

ImHex提供很多高级功能，例如：完全自定义的二进制模板和模式语言、用于解码和突出显示数据中的结构、基于图形节点的数据处理器、用于在显示值之前对其进行预处理、反汇编器、差异支持、书签等等。ImHex在GPLv2许可证下开源。

地址：

https://github.com/WerWolv/ImHex

Kubescape

Kubescape是一个开源的Kubernetes安全平台，用于IDE、CI/CD管道和集群。它提供风险分析、安全评估、合规性检查和错误配置检测等功能。

Kubescape扫描各种组件，包括集群、YAML文件和Helm图表。它利用多个框架，如NSA-CISA、MITRE ATT&CK和CIS基准来识别错误配置。

地址：

https://github.com/kubescape/kubescape

Matano

Matano是一个开源云原生安全湖平台，可替代SIEM（安全信息和事件管理）。它可以在AWS平台上实现大规模PB级的威胁搜寻、检测、响应和网络安全分析。

借助Matano，用户可以使用基于S3（简单存储服务）或SQS（简单队列服务）的摄取方法来收集数据。它带有预配置的源，如CloudTrail、Zeek和Okta，并且还会自动从所有SaaS源中检索日志数据。

地址：

https://github.com/matanolabs/matano

Malwoverview

Malwoverview是流行的威胁狩猎工具，可用于恶意软件样本、URL、IP地址、域、恶意软件系列、IOC和哈希的初始和快速评估。

它提供了生成动态和静态行为报告的功能，并允许用户从各种端点提交和下载样本。Malwoverview还可以充当已有沙盒的客户端，能够有效分析潜在威胁。

地址：

https://github.com/alexandreborges/malwoverview

Metasploit Framework

Metasploit Framework是一个基于Ruby的模块化渗透测试平台。它允许用户编写、测试和执行漏洞利用代码。

它包含一套用于测试安全漏洞、网络枚举、攻击执行和检测规避的工具。

Metasploit Framework是当今最流行的进攻性安全工具集之一，为渗透测试和漏洞利用开发提供了完整的环境。

地址：

https://github.com/rapid7/metasploit-framework

MISP

MISP是一种开源威胁情报平台解决方案，用于收集、存储、分发和共享与网络安全事件和恶意软件分析相关的网络安全指标和威胁。它专为事件分析师、安全和ICT专业人员或恶意软件分析师设计，以支持他们的日常运营，从而有效地共享结构化信息。

MISP的主要目标是促进安全社区内外的结构化信息共享。它提供各种功能，通过网络入侵检测系统（NIDS），基于日志的入侵检测系统（LIDS）以及日志分析工具和SIEM系统交换和利用此类信息。

地址：

https://github.com/MISP/MISP

Nidhogg

Nidhogg是为红队设计的rootkit，整合多种功能且用户友好，仅通过一个header文件即可轻松集成到红队的C2框架中。

Nidhogg与x64版本的Windows 10和Windows 11兼容。存储库包括一个内核驱动程序和一个用于通信目的的C++头文件。

地址：

https://github.com/Idov31/Nidhogg

RedEye

RedEye是CISA和能源部太平洋西北国家实验室开发的开源分析工具。其目的是支持红队分析和报告指挥和控制活动。它帮助运营商评估缓解策略，可视化复杂数据，并根据红队评估的结果做出明智的决策。

该工具旨在解析日志，特别是由Cobalt Strike生成的日志，并以易于理解的用户友好格式呈现数据。用户可以标记工具中显示的活动并添加注释，从而增强协作和分析。RedEye还提供演示模式，允许操作员向利益相关者展示他们的发现和工作流程。

地址：

https://github.com/cisagov/RedEye

SpiderFoot

SpiderFoot是一个开源智能（OSINT）自动化工具。它与各种数据源集成，并采用多种数据分析方法，便于对收集的信息进行导航。

SpiderFoot集成了嵌入式Web服务器，可提供用户友好的基于Web的界面，用户也可以选择完全通过命令行进行操作。该工具用Python 3编码，并在MIT许可下发布。

地址：

https://github.com/smicallef/spiderfoot

System Informer

System Informer是一个免费的多用途工具，能够监控系统资源，调试软件和检测恶意软件。

它提供以下功能：