安全性能高的互聯(lián)網(wǎng)工具有哪些？

軟件安全性是一個廣泛而復(fù)雜的主題，每一個新的軟件總可能有完全不符合所有已知模式的新型安全性缺陷出現(xiàn)，要避免因安全性缺陷問題受各種可能類型的攻擊是不切實際的，在軟件安全測試時，運用一組好的原則來避免不安全的軟件上市、避免不安全軟件受攻擊，就顯得十分重要。

最受歡迎的軟件測試工具有哪些？

1. 從總體看，（靜態(tài)的）代碼分析工具和（動態(tài)的）滲透測試工具應(yīng)用還是比較普遍，超過60%，而且滲透測試工具（73.68%）略顯優(yōu)勢，高出10%；模糊測試工具，可能大家感覺陌生，低至16%，但它在安全性、可靠性測試中還是能發(fā)揮作用的；從理論上看，代碼分析工具應(yīng)該能達到95%以上，因為它易用，且安全性已經(jīng)是許多公司的紅線，得到足夠重視；希望以后各個公司能夠加強代碼分析工具和模糊測試工具的應(yīng)用。

2. Java代碼安全性分析工具前三名是：IBM AppScan Source Edition（42.11%）、Fotify Static Code Analyzer（36.84%）、Findbugs（26.32%）。

3.C/C++代碼安全性分析工具前三名是：C++Test（38.89%）、IBM AppScan Source Edition（38.89%）、Fotify Static Code Analyzer（27.78%）、Visual Studio（27.78%）；可能LDRA Testbed比較貴，關(guān)鍵的嵌入式軟件采用比較多，所以沒有進前三。

4. Java代碼安全性分析工具應(yīng)用最多的是Google's Closure Compiler，其次是JSHint，也有的公司用Coverity來進行JS的代碼分析。

5. Python代碼安全性分析工具應(yīng)用最多的是Pychecker，其次是PyCharm，而Pylint使用比較少，也有幾個公司用Coverity來進行Python的代碼分析。

6. Web應(yīng)用安全性測試的商用工具中，IBM AppScan異軍突起，高達70%的市場，其它商用工具無法與它抗衡，第2名SoapUI和它差距在50%以上，HP webInspect 不到10%。

7. Web應(yīng)用安全性測試的開源工具中，F(xiàn)irebug明顯領(lǐng)先，將近50%，比第2名OWASP ZAP高12%，第三名是Firefox Web Developer Tools，超過了20%。

8.Android App的安全性測試工具中，Android Tamer領(lǐng)先，將近30%，比第2、3名AndroBugs、Mobisec、Santoku高15%左右。

9. 網(wǎng)絡(luò)狀態(tài)監(jiān)控與分析工具中，Wireshark遙遙領(lǐng)先，超過70%。其次就是Tcpdump、Burp Suite，占30%左右；網(wǎng)絡(luò)狀態(tài)監(jiān)控與分析工具挺多的，但從這次調(diào)查看，越來越集中到幾個工具中，特別是Wireshark功能強，覆蓋的協(xié)議比較多，深受歡迎。

10.SQL注入測試工具排在前三位的：SQLInjector、SQL Power Injector、OWASP SQLiX，三者比較接近，差距在6%左右。其它兩項工具Pangolin、SQLSqueal也占了10%。

總結(jié)：

這些工具將安全測試員從手動審核的工作中解放出來，它們也使審核的過程變得更為快速有效；執(zhí)行有力的安全測試評估并不意味著簡單地從列表中選擇一個工具，相反，它意味著評估組織結(jié)果，以及評估信息、要求和所涉及的利益相關(guān)者，這個過程將有助于構(gòu)建一個理想的策略，包括使用工具來有效和高效地識別和解決安全漏洞。