一声长叹：寻找零成本安全工具真有那么难吗？OWSAP 帮你收集好了！强烈建议收藏！

说起来就是一声长叹啊家人们，大部分时候我们想找一个称心如意（至少不要修改太多）的开源、免费工具都有点费劲...

废话少说，我们一部分一部分的看，先看第一部分，OWSAP 全家桶！

核心项目：

OWASP Top Ten：介绍网络应用面临的十大主要安全风险，链接：

https://owasp.org/www-project-top-ten/

OWASP Juice Shop：用于安全培训、展现不安全的应用，链接：

https://owasp.org/www-project-juice-shop/

OWASP ZAP (Zed Attack Proxy)：渗透测试工具，扫漏洞的，非常好用，插件齐全社区活跃，链接：

https://www.zaproxy.org/

‍OWASP Dependency Check：做 SCA 的工具，检测项目依赖项和漏洞，也是很好用：

https://owasp.org/www-project-dependency-check/

OWASP ASVS (Application Security Verification Standard)：用于 Web App 安全的测试框架，链接：

https://owasp.org/www-project-application-security-verification-standard/

OWASP Mobile Security Testing Guide：移动应用安全测试指南（或者说标准？），链接：

https://owasp.org/www-project-mobile-app-security/

OWASP Web Security Testing Guide：提供了针对 Web App 的安全测试标准指南，链接如下：

https://owasp.org/www-project-web-security-testing-guide/

OWASP SAMM (Software Assurance Maturity Model)：评估和改善软件安全的成熟度模型，链接如下：

https://owasp.org/www-project-samm/

差不多就这些核心项目，但是只有上面这些明显是不够用的，OWSAP 还收集了很多开源免费或者仅免费的项目供咱们使用！

直接放上链接：

https://owasp.org/www-community/Vulnerability_Scanning_Tools

不过 OWSAP 提前甩完锅了，他们说：

OWASP does not endorse any of the Vendors or Scanning Tools by listing them in the table below.

哈哈哈，意思是就是 OWSAP 只是负责收集，而不代表他们真的认可这些工具，工具列表我属实放不了，因为实在是太多了：

目测至少一百多个，上面截图只是一部分！

除此之外，还有！

上链接：

https://owasp.org/www-project-juice-shop/0

又是一大陀：

还有吗？那必须还有呀！

链接：

https://owasp.org/www-project-juice-shop/1

不放截图了，大家自己去列表里面找找吧，全是免费或者开源且免费的工具。

最后再放一个合集吧：

https://owasp.org/www-project-juice-shop/2

这个合集里面有 SAST DAST IAST 等等。

做安全真的需要很多钱吗？应该说一定需要很多资源，但这些资源的表现形式不一定是钱，前面我说过，也说过怎么免费搞，也有如何等等，在我看来安全更多的是意识吧，想不想搞好很重要，抱着找一个安全部门做背锅侠的心态一定会出大事的，轻则被D，重则丢数据。