secureCodeBox/secureCodeBox

- [OWASP secureCodeBox](#owasp-securecodebox) - [概述](#overview) - [项目目的](#purpose-of-this-project) - [快速开始](#quickstart) - [架构概览](#architecture-overview) - [升级](#upgrading) - [许可证](#license) - [社区](#community) - [贡献](#contributing) - [赞助商](#sponsors) - [作者信息](#author-information) 有关更多文档内容，请访问我们的 [文档网站](https://www.securecodebox.io)： ## 项目目的 确保应用程序安全的典型方式是在项目某个阶段聘请安全专家（又称渗透测试人员）来检查应用程序的安全漏洞和弱点。通常，这种检查在项目后期进行，存在两个主要缺点： 1. 如今，许多项目采用持续交付，这意味着开发人员每天多次部署新版本。渗透测试人员只能检查单个快照，但后续的提交可能引入新的安全问题。为了确保应用程序持续安全，渗透测试人员也应持续测试应用程序。不幸的是，这种方法在财务上很少可行。 2. 由于通常有时间限制的分析，渗透测试人员必须专注于琐碎的安全问题（低垂果实），因此很可能不会处理严重且不明显的问题。 通过 _secureCodeBox_，我们提供了一套工具链，用于在开发早期持续扫描应用程序以发现低垂果实问题，并释放渗透测试人员的资源，使其专注于主要安全问题。 _secureCodeBox_ **不是**为了取代渗透测试人员或使其过时。我们强烈建议在所有应用程序上运行由经验丰富的渗透测试人员进行的广泛测试。 **重要说明**：_secureCodeBox_ 不是一个简单的一键式解决方案！你必须对安全以及如何配置扫描器有深入的理解。此外，理解扫描结果及其解释也是必要的。 关于 [Security DevOps – Angreifern (immer) einen Schritt voraus][secdevops-objspec]，有一篇德文文章刊登在软件工程期刊 [OBJEKTSpektrum][objspec] 上。 ## 快速开始 你可以在我们的 [文档网站](https://www.securecodebox.io) 上找到帮助入门的内容，包括如何 [安装 secureCodeBox](https://www.securecodebox.io/docs/getting-started/installation) 以及指导你[使用它运行首次扫描](https://www.securecodebox.io/docs/getting-started/first-scans) 的指南。 ## 架构概览  ## 升级 有关升级 secureCodeBox 安装所需的步骤，请参见 [升级](https://www.securecodebox.io/docs/getting-started/upgrading)。 ## 许可证 secureCodeBox 代码根据 [Apache License 2.0][scb-license] 许可。 ## 赞助商

## 作者信息 由 [iteratec GmbH](https://www.iteratec.com/) - [secureCodeBox.io](https://www.securecodebox.io/) 赞助和维护

标签：DevSecOps, EVTX分析, LNA, Web截图, XML 请求, 上游代理, 人工智能安全, 可扩展安全, 合规性, 威胁建模, 子域名突变, 安全即代码, 安全左移, 安全开发, 安全扫描, 容器安全, 持续交付, 数据可视化, 日志审计, 时序注入, 请求拦截, 软件供应链, 逆向工具