今年前三季度涌现了一批优秀的漏洞发现工具（开源），这些工具能够简化工作流程，自动化解决人为错误，并发现其他难以发现的缺陷。

以下是2021年前三季度可供渗透测试人员、安全团队和DevOps人员使用的漏洞发现工具（开源）汇总：

VSCode与Miter ATT&CK框架集成简化了代码编辑工作

VSCode-ATT&CK是一个插件，安全分析师和研究人员可以通过它与Miter ATT&CK框架进行交互，而无需离开他们的Visual Studio Code(VSCode)环境。

该工具由托管检测和响应供应商Red Canary开发和开源，微软流行代码编辑器的扩展与Miter ATT&CK框架集成，并提供集成的ATT&CK技术搜索命令等功能。

该工具还可帮助安全团队在VSCode内保持专注，而无需离开应用程序并通过浏览器访问有关ATT&CK的信息。

Jenkins Attack Framework帮助红队强化CI/CD环境中的“软目标”

Jenkins Attack Framework(JAF)能够帮助渗透测试人员和红队人员发现流行的自动化服务器可能被滥用的方式。

该工具由埃森哲发布，自动化并简化了许多常见的和一些不太常见的Jenkins攻击技术。

Jenkins是一个开源CI/CD管道，通常存储强大的凭据和专有代码，但没有默认安全配置，经常使其成为“软目标”，前埃森哲的JAF开发人员谢尔比斯宾塞介绍道。

Deadshot：在将代码上传到GitHub时显示常见DevOps错误

通信技术公司Twilio的安全专家推出了一款免费工具，当开发人员上传到储存库中的代码无意包含了敏感信息时，Deadshot监视器GitHub会实时拉取请求并标记代码中出现的潜在敏感数据。

这是一个具有警醒作用的工具，它运行在所有数据的传输流程中，并在任何数据上传之前提醒所以的项目参与者——这是极具价值的功能，因为大多数秘密的泄漏源自“毫无戒心”的开发人员，他们在不知不觉中滥用了GitHub。

DIY恶意USB电缆，只需30美元

网络安全公司r-tec的信息安全顾问Daniel Scheidt文章中指出：无论是道德的还是不道德的黑客，都具备凭借大约30美元的成本在自己的键盘中注入攻击USB电缆的能力。

Scheidt表示，将UNIFY接收器植入到一条USB电缆中以注入击键时，它可以像一条普通的USB电缆为手机充电。

来源：安全牛