GitHub上值得关注的20个网络安全项目

在网络安全领域，有许多开源的安全工具和项目可供企业安全团队和分析师们使用，而发现先进开源网络安全项目的一个有效方法就是在GitHub中进行针对性的搜索和查询。有数据显示，目前在GitHub中已经存在了数千个和网络安全主题相关的项目，全面覆盖了漏洞扫描、威胁检测、网络监控以及密码技术应用等多个方面，可以有效帮助企业组织保护数字化业务和资产的安全。

借助这些开源工具，企业在网络安全建设时可以实现更好的成本收益，因为这些网络安全项目会由专门的贡献者开发和维护，并提供有价值的工具、框架和资源来推动其更好地实践应用。根据项目的星级和关注度，国外安全研究机构收集整理了目前GitHub上较热门的20个网络安全项目。

1、ATT&CK Navigator 

ATT&CK Navigator项目旨在帮助用户以类似Excel的方式，导航和注释ATT&CK矩阵。它提供了一种可视化防御覆盖、监控红/蓝队活动和跟踪技术频率的方法，用户只需要便捷操作矩阵中的单元格即可使用，例如添加注释或着色编码。该项目的主要特征是能够创建被称为“层”（Layer）的自定义视图，以提供基于ATT&CK知识库的个性化透视图。“层”可以交互方式或编程方式创建，然后使用Navigator进行可视化。

传送门：https://github.com/mitre-attack/attack-navigator。

2、Cryptomator

Cryptomator是一个开源多云（multi-platform）安全服务项目，为存储在云中的文件提供客户端加密。不同于许多云提供商通常只在传输过程中加密数据或自己保留解密密钥，Cryptomator项目确保只有最终用户才能够拥有其数据的密钥。这种方法可以将密钥盗窃、复制或滥用的风险降至最低。此外，Cryptomator还允许用户从他们的个人终端设备访问远程工作所需的各类企业文件。

传送门：https://github.com/cryptomator/cryptomator。

3、Cutter

Cutter是一个免费的开源逆向安全工程项目，使用了Rizin作为其核心引擎。这使用户能够通过图形用户界面（GUI）或第三方集成终端进行功能访问。Cutter项目还提供了广泛的小组件和功能，大大提高了逆向工程研究中的舒适度。它的公开发行版与本地Ghidra反编译器完全集成，从而消除了使用者对Java工具的需求。

传送门：https://github.com/rizinorg/cutter。

4、Dismap

Dismap是一种用于企业数字化资产发现和识别的工具，主要适用于Web、TCP和UDP等协议。它可以检测多种资产类型，并适用于组织的内部网络和外部网络。Dismap可以协助红队人员识别潜在的风险资产，并支持蓝队人员检测可疑的脆弱资产。

在Dismap的指纹规则库中，全面包含了TCP、UDP和TLS协议指纹，以及超过4500条常见的Web指纹规则。这些规则有助于识别文件中的图标、正文、页眉和其他相关组件等元素。

传送门：https://github.com/zhzyker/dismap。

5、Faraday

Faraday是一个开源的漏洞管理器项目，旨在帮助安全分析师发现漏洞并进行相关的修复工作。它提供了一个统一的平台来帮助安全专业人员更好地发现漏洞，还可以简化组织工作的过程。Faraday主要通过终端设备使用，允许用户在多用户环境中利用第三方工具。

Faraday的一个关键特征是它能够以标准化的模式集成到各类应用，并且访问其中的数据。这使网络安全管理人员和分析师能够通过第三方可视化工具来分析数据，以强化对漏洞的理解，并帮助决策过程。

传送门：https://github.com/infobyte/faraday。

6、Hayabusa 

Hayabusa是一个Windows事件日志快速取证和威胁狩猎工具。它是用Rust编程语言实现的，并结合了多线程技术来优化运行速度。该工具还具有将Sigma规则转换为Hayabusa规则格式的功能。在实际应用中，使用者可以用YAML编写与Hayabusa兼容的检测规则，因此可以非常轻松地定制和扩展。Hayabusa可以以多种方式使用，包括对单个系统进行实时分析和离线分析，或者与Velociraptor一起用于企业范围的威胁搜索和事件响应。Hayabusa输出的报告可以被轻松整合到单个CSV时间轴中，便于在LibreOffice、timeline Explorer、Elastic Stack、Timesketch等流行工具中进行分析。

传送门：https://github.com/Yamato-Security/hayabusa。

7、 ImHex

ImHex是一个十六进制的数据编辑器工具，主要用于显示、解码和分析二进制数据，以逆向工程其格式，提取其中的信息或补丁值，该项目有许多高级功能：完全自定义的二进制模板和模式语言，可用于解码和突出显示数据中的结构；基于图形节点的数据处理器，可用于在显示值之前对其进行预处理；提供差分支持、书签等功能。同时，ImHex在GPLv2许可下是完全免费和开源的。

传送门：https://github.com/WerWolv/ImHex。

8、Kubescape

Kubescape是一个开源的Kubernetes安全平台，适用于IDE、CI/CD管道和集群。它提供了诸如风险分析、安全评估、遵从性检查和错误配置检测等功能。Kubescape可以扫描各种组件，包括集群、YAML文件和Helm图。它还利用了多个框架，如NSA-CISA、MITRE ATT&CK和CIS Benchmark来识别错误配置。

传送门：https://github.com/kubescape/kubescape。

9、Matano

Matano是一个开源的云原生安全资源池平台，可以作为传统网络安全信息和事件管理（SIEM）的替代方案。它支持在AWS公有云平台上进行大规模pb级的威胁搜索、检测、响应和网络安全分析。通过使用Matano项目，用户可以应用基于摄取方法的S3（简单存储服务）或SQS（简单队列服务）收集数据。它可以预先配置数据源，如CloudTrail、Zeek和Okta，还可以自动从所有SaaS数据源检索日志数据。

传送门：https://github.com/matanolabs/matano。

10、Malwoverview

Malwoverview是一个用于威胁搜索的工具。它旨在提供恶意软件样本、URL、IP地址、域名、恶意软件家族、威胁妥协指标（IOC）和哈希的初始和快速评估。它可以为用户生成动态和静态的行为分析报告，并允许用户从不同的端点提交和下载示例。它还可以作为已建立沙箱的客户端，实现对潜在威胁的更深入分析。

传送门：https://github.com/alexandreborges/malwoverview。

11、Metasploit Framework

Metasploit Framework是一个基于Ruby的模块化渗透测试平台，允许用户编写、测试和执行漏洞利用代码。由于该项目包含一套用于测试安全漏洞、网络枚举、攻击执行和检测逃避的工具，因此本质上看，它是一个广泛应用的网络安全工具集合，可以为渗透测试和漏洞利用开发提供一个完整的测试环境。

传送门：https://github.com/rapid7/metasploit-framework。

12、MISP

MISP是一个开源软件解决方案，主要用于收集、存储、分发和共享与网络安全事件相关的指标数据和威胁视图。它可以为事件分析师、安全和ICT专业人员或恶意软件逆向工程员提供很多帮助，以支持他们的日常操作，并有效地共享结构化信息。

MISP项目的主要目标是促进安全社区内外的结构化信息共享。它提供了各种安全功能，使网络入侵检测系统（NIDS）、基于日志的入侵检测系统（LIDS）、日志分析工具和SIEM系统等能够非常快捷地交换信息和利用信息。

传送门：https://github.com/MISP/MISP。

13、Nidhogg

Nidhogg是一个为安全红队设计的rootkit工具，提供各种功能来支持红队的实战化工作。它是一个集所有功能于一身且用户友好的rootkit，可以被轻松集成到用户的C2框架中。Nidhogg可以兼容x64版本的Windows 10和Windows 11，其数据存储库包括一个内核驱动程序和一个用于通信的C++标头文件。

传送门：https://github.com/Idov31/Nidhogg。

14、RedEye

RedEye是由CISA和美国能源部西北太平洋国家实验室联合创建的开源安全分析工具。它的目的是支持红队分析和报告C2活动。它可以帮助安全运营人员评估缓解策略，将复杂的数据可视化，并根据红队的评估结果做出明智的决策。该工具可以帮助用户更好地解析日志，特别是由Cobalt Strike生成的日志，并以易于理解的方式呈现数据。用户能够轻松对工具中显示的活动进行标记和评论，从而增强协作和分析。RedEye还提供了一种展示模式，允许用户向利益相关者展示他们的发现和工作流程。

传送门：https://github.com/cisagov/RedEye。

15、SpiderFoot

SpiderFoot是一个开源智能自动化（OSINT）工具，可以集成多种数据源，采用多种数据分析方法，便于对收集到的信息进行综合分析和使用。SpiderFoot是一个嵌入式的web应用服务，提供了一个非常友好的、基于Web的用户交互界面。另外，用户也可以完全通过命令行操作它。该工具是用Python 3编写的，并在MIT许可下发布。

传送门：https://github.com/smicallef/spiderfoot。

16、System Informer

System Informer是一个免费的多功能开源安全工具，可以帮助用户监控系统运行资源、调试软件功能和检测恶意软件。它的主要应用特点包括： 

• 清楚的概述正在运行的进程和资源使用情况。
• 详细的系统信息和图表。
• 提供标准化的查看和编辑服务。
• 大量对调试和分析软件有用的其他特性。

传送门：https://github.com/winsiderss/systeminformer。

17、Tink

Tink是由Google的密码学专家和安全工程师共同开发的开源加密数据库。它提供了安全并友好的应用API，可以通过以用户为中心的设计方法、仔细代码审查以及完整的应用测试，最大限度地减少了使用中的常见错误。Tink项目的初衷就是帮助没有密码学背景的用户安全地使用密码技术，它已经被部署在谷歌的许多产品和系统中。

传送门：https://github.com/google/tink。

18、Vuls 

Vuls是一个无代理的安全漏洞扫描工具，可以针对Linux、FreeBSD、Container、WordPress以及各种网络设备进行安全漏洞的检测和分析。在实际使用时，Vuls具有以下特点：

• 全面识别系统漏洞。
• 提供受影响应用的完整信息。
• 可以自动化方式进行漏洞检测。
• 使用CRON等方法定期报告漏洞管理整体情况 。

传送门：https://github.com/future-architect/vuls。

19、Wazuh

Wazuh是一个免费的开源威胁检测和响应平台，提供关于威胁的预防、检测和响应功能。它可用于保护各种环境中的工作负载安全，包括内部部署、虚拟化、容器化和基于云的设置。

Wazuh有两个主要功能组件：端点安全代理和管理服务器，其中端点安全代理主要安装在被监视的系统上，负责收集与安全相关的数据；管理服务器负责接收代理收集的数据并对其进行分析。Wazuh目前已经与Elastic Stack完全集成，提供了一个搜索引擎和数据可视化工具。这种集成允许用户浏览他们的安全警报，并从收集的数据中获得洞察力。

传送门：https://github.com/wazuh/wazuh。

20、x64dbg

x64dbg是一个为Windows操作系统设计的开源二进制调试器。它侧重于在缺少源代码的情况下对恶意软件的分析和可执行文件的逆向工程。

x64dbg的主要应用特性包括： 

• 可定制性：用户可以用c++编写插件，自定义颜色，并根据自己的需要调整首选项。
• x64/x32支持：它可以处理x64和x32应用程序，为调试提供统一的接口。
• 基于开源库：广泛使用了Qt、TitanEngine、Zydis、Yara、Scylla、Jansson、lz4、XEDParse、asmjit和snowman。 
• 开发简单：该项目使用C++和Qt开发的，可以有效地添加新功能。 
• 脚本属性：x64dbg具有集成的、可调试的类ASM脚本语言。 
• 社区意识：x64dbg的许多特性都是由逆向工程社区发起或实现的。
• 可扩展性：用户可以创建插件来添加自定义脚本命令或集成外部工具。

传送门：https://github.com/x64dbg/x64dbg。