Una evaluación de vulnerabilidad es un examen metódico de la infraestructura de la red, los sistemas informáticos y el software con el objetivo de identificar y abordar las vulnerabilidades de seguridad conocidas. Una vez que se identifican las vulnerabilidades, se clasifican según la importancia de solucionarlas o mitigarlas más temprano que tarde. Por lo general, la herramienta de exploración también proporciona instrucciones sobre cómo remediar o mitigar las vulnerabilidades descubiertas.
Todas las herramientas de evaluación de vulnerabilidades de código abierto que se enumeran a continuación se pueden descargar y utilizar de forma gratuita.
AQUA TRIVY
Aqua Trivy es una herramienta de código abierto que detecta vulnerabilidades y proporciona una explicación del riesgo para que los desarrolladores puedan decidir qué componentes quieren usar en sus aplicaciones y contenedores. Trivy tiene diferentes escáneres que buscan diferentes problemas de seguridad y diferentes objetivos donde puede encontrar esos problemas.
CLAIR
Clair es un proyecto de código abierto para el análisis estático de vulnerabilidades en contenedores de aplicaciones (actualmente incluye OCI y docker). Los clientes usan la API de Clair para indexar las imágenes de sus contenedores y luego pueden compararlas con las vulnerabilidades conocidas.
TSUNAMI
Tsunami es un escáner de seguridad de red de propósito general con un sistema de complemento extensible para detectar vulnerabilidades de alta gravedad con alta confianza. Tsunami es fácil de escalar, se ejecuta rápido y escanea de forma no intrusiva.
VAF
Vaf es un fuzzer web multiplataforma con características como: subprocesamiento rápido, fuzzing de encabezado HTTP y proxy.
ZED ATTACK PROXY (ZAP)
Zed Attack Proxy (ZAP) es una herramienta gratuita de prueba de penetración de código abierto que se mantiene bajo el paraguas de OWASP. ZAP está diseñado específicamente para probar aplicaciones web y es flexible y extensible, incluso puede ejecutarlo en una raspberry pi.
