DevAudit 是一个开源，跨平台，多功能安全审计针对开发者和从业者的 DevOps 工具，在解决方案堆栈的多层次检测安全漏洞。DevAudit 提供了一个广泛的能够自动安全实践和实施在软件开发生命周期的安全审计的审计功能阵列。DevAudit 可以扫描您的操作系统和应用程序包的依赖关系，应用和应用程序服务器的配置，和应用程序代码，用于基于从一个宽阵列的源和数据由 OSS 指数的聚合数据的潜在漏洞作为国家漏洞数据库馈送这样（NVD）CVE 数据饲料，Debian 的安全公告数据饲料，Drupal 的安全公告，和其他几个人。对于其他第三方漏洞数据库，如 vulners.com 支持也在计划中。

特征

• 跨平台也可提供一个码头工人的形象。DevAudit 在 Windows 和 Linux 上运行与 * BSD 和 Mac 的支持，未来的和 ARM 的 Linux 的可能性。只有. NET 或单声道的高达最新版本才能运行 DevAudit。一个 DevAudit 泊坞窗的图像也可以从泊坞窗枢纽和运行而不需要安装单的需求拉动。
• CLI 界面。DevAudit 具有对非交互输出的选项的 CLI 接口，并且可以容易地集成到 CI 构建管道或作为显影剂的 IDE 生成后的命令行的任务。对核心审计库到 IDE 图形用户界面的集成工作已经开始与 Audit.Net 的 Visual Studio 扩展。
• 不断更新 vulnerabilties 数据。DevAudit 使用 OSS 指数 API，提供从各种 secuirty 的数据馈送和来源，如 NVD CVE 饲料，Drupal 的安全公告，等等编制不断更新的漏洞数据。更多的后端数据提供商，如支持 vulners.com 即将到来。
• 审计的操作系统和开发包的依赖关系。DevAudit 审核通过的巧克力时，Windows MSI 和 OneGet 安装报告的特定版本中的漏洞的 Windows 应用程序和 pacakges。对于开发包的依赖和库，DevAudit 审计的 NuGet V2 依赖于. NET，鲍尔依赖关系的 NodeJS，和 PHP 作曲家软件包的依赖关系。更多的支持即将到来。
• 审核应用程序服务器配置。DevAudit 审计服务器版本和 OpenSSH 的服务器配置 sshd 的，阿帕奇的 httpd，MySQL 和 Nginx 的服务器有更多的到来。配置审计是基于河神库，并使用服务器配置文件的完整的句法分析完成。服务器配置规则存储在 YAML 文本文件和可定制的开发人员的需求。更多的服务器和应用程序和类型的分析支持即将到来。
• 审计应用程序配置。DevAudit 审计微软 ASP.NET 应用和检测存在于应用程序配置的漏洞。
• 通过静态分析审计应用程序代码。DevAudit 目前支持. NET CIL 字节代码的静态分析。分析仪驻留在外部脚本文件，并可以根据开发者的需求，完全定制。对于通过罗斯林，PHP7 源代码，还有更多的语言和外部静态代码分析工具 C＃源代码分析支持即将到来。
• 远程无代理审核。DevAudit 可以经由与在远程环境可作为局部环境相同审计功能 SSH 连接到远程主机。只有有效的 SSH 登录要求审核远程主机和 DevAudit 运行在 Windows 上可以连接并审核 Linux 主机通过 SSH。像 WinRM 的其他远程协议的支持计划。
• 泊坞窗容器审计。DevAudit 可以审核 Docker 容器，在容器环境可作为当地环境相同的特征。
• PowerShell 的支持。DevAudit 也可以在 PowerShell 的系统管理环境的 cmdlet 内运行。对 PowerShell 的支持工作已暂停，目前反而会在不久的将来恢复与跨平台 Powershell 的都在 Windows 和 Linux 的支持。

要求

DevAudit 是一个. NET 4.6 的应用程序。在你的机器上本地安装你需要或者在 Windows 或 Linux 上的单声道 4.4 或以上版本的 Microsoft .NET 框架 4.6 运行时。.NET 4.6 应该已经安装最新版本的 Windows，如果没有，那么它可以作为一个 Windows 功能，可以打开或安装从程序和功能的消费者的 Windows 控制面板小程序，或从添加角色和功能在服务器管理器选项上的 Windows Server 版本。对于旧版本的 Windows，Microsoft 的. NET 4.6 的安装程序，可以发现在这里。

在 Linux 上你必须有一个最新的单声道版本（4.4 * 或更高）。检查你的发行版提供的现有单包至少为单声道版本 4.4 及以上，否则您可能必须手动安装 Mono 包。通过 Mono 项目的几个主要的 Linux 发行版提供的最新软件包的安装说明在这里建议你安装了，因为这将减少丢失组件的机会，单 – devel 包。

或者在 Linux 上，你可以使用 DevAudit 码头工人的形象，如果你不想安装 Mono 和已经 ypur 计算机上安装多克。

基本用法

CLI 是主接口的 DevAudit 程序和既适于交互使用，并在计划任务非交互使用，shell 脚本，CI 建立开发者 IDE 管道和后期生成任务。基本 DevAudit CLI 语法是：

devaudit TARGET [ENVIRONMENT] | [OPTIONS]

1

2

devaudit TARGET [ENVIRONMENT] | [OPTIONS]

其中TARGET规定了审计目标ENVIRONMENT指定了审计环境和OPTIONS指定的审计目标和环境的选项。有 2 种方式来指定选项：适用于一个以上的目标可以在命令行作为参数直接指定程序选项和一般审计选项。靶特异性选项可以与指定-o使用格式选项：-o OPTION1=VALUE1,OPTION2=VALUE2,....用逗号分隔每个选项键 – 值对。

如果你是管道或重定向程序输出到一个文件，那么你应该总是使用-n --non-interactive选项来禁用任何交互式用户界面功能和动画。

当指定文件路径，路径前的 @前缀指示 DevAudit，这个路径是相对于审计目标如的根目录下，如果你指定：-r c:\myproject -b @bin\Debug\app2.exeDevAudit 考虑到二进制文件为 c 的路径：\ MyProject 的 \ BIN \ 调试 \ app2.exe。

阿布云高速代理IP,分布式动态代理IP,高质量IP代理,全国高匿代理ip,爬虫代理,私密代理IP,国内极速代理IP,优质代理IP