精选的与Java安全有关的资源的精选列表。
列表灵感来自很棒的列表。
支持:Guardrails.io
内容
工具
网络框架硬化
- Apache Shiro-一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理。
- JJWT -Java JWT:JSON Web令牌用于Java和Android。
- OWASP ESAPI JAVA -Enterprise Security API是一个免费的开源,Web应用程序安全控制库,使程序员更容易编写低风险应用程序。
- PAC4J- Java的安全引擎可验证用户,获取其配置文件并管理授权,以保护Web应用程序和Web服务。
- 春季安全性 - 功能强大且高度可定制的身份验证和访问控制框架。
- Spring Security Oauth-支持为Spring Web应用程序添加OAuth1(A)和OAuth2功能(消费者和提供商)的支持。
多工具
- 鹰眼 - 多用途安全/漏洞/风险扫描工具,支持Ruby,Node.js,Python,PHP和Java。
- GuardRails- GITHUB应用程序,可在拉动请求中为您提供即时的安全反馈。
静态代码分析
- Spotbugs -Spotbugs是Findbugs的继任者。用于静态分析的工具,可以在Java代码中查找错误。
- 查找安全错误 - 用于Java Web应用程序和Android应用程序的安全审核的SpotBugs插件。
- 检测秘密 - 一种检测和防止代码中秘密的企业友好方式。
- Gitrob -Gitrob是一种工具,可以帮助您在Github上找到推向公共存储库的潜在敏感文件。
- Sonarqube- Sonarqube提供了展示应用程序健康的能力,并突出显示了新引入的问题。
- 过分扣除 - Android应用程序(APK文件)的静态分析仪,搜索安全漏洞。包含90多个漏洞类别。
- BEARER-静态代码安全分析仪,可发现,过滤和确定安全性和隐私风险。
运行时分析
- 代码脉冲 - 代码脉冲是用于穿透测试活动的实时代码覆盖工具。
- OWASP ZAP-帮助自动在Web应用程序中找到安全漏洞。
- 对比社区版 - 自由运行时保护和漏洞检测工具,确定运行应用程序中的问题。
漏洞和安全咨询
- OWASP依赖性检查 - 检测应用程序依赖性中公开披露的漏洞。
- Snyk- CLI和构建时间工具,用于在开源依赖项中查找和修复已知漏洞。
- Snyk漏洞DB-商业但免费列出了库中已知漏洞。
- 常见的漏洞和暴露 - 分配了CVE的漏洞。涵盖语言和软件包。
- 国家漏洞数据库 - 国家漏洞数据库中的Java已知漏洞。
- 对比社区版 - 免费的工具,可以在库中找到CVE和过时的依赖关系。
密码学
- 弹力城堡 - 加密算法的Java实施。
- CONSCRYPT-实现Java加密扩展的一部分和Java Secure套接字扩展名的Java安全提供商。
- 密码器 - 云中文件的多平台透明客户端加密。
- KEYCZAR- Google易于使用的加密工具包。
- KeyWhiz-分发和管理秘密的系统。
- Tink-多语言,跨平台库,可提供安全,易于使用的加密API,易于滥用(ER)。
- ACME4J -Java ACME客户端用于使用Let's Encrypt或其他基于ACME的CA发布X.509证书。
教育
黑客操场
- Bodgeit Store-脆弱的Web应用程序,针对新手笔测试的人。
- OWASP基准测试 - 旨在验证漏洞检测工具的速度和准确性的Java测试套件。
- 安全牧羊人 - 网络和移动应用程序安全培训平台。
- Webgoat-故意不安全的Java Web应用程序。
文章,指南和谈话
- Java平台,标准版安全开发人员指南 - 本指南涵盖了主要Java标准版安全组件:Java加密体系结构(JCA),Java身份验证和授权服务(JAAS)和Java Secure套接字扩展(JSSE)
- 应用程序安全验证标准 - (PDF)标准是开发人员可以使用的应用程序安全要求的列表。
- Spring Security CSRF-春季安全性CSRF保护指南。
- 安全的编码指南 - Java SE的安全编码指南
- 确保Web应用程序 - 本指南可引导您完成使用春季安全保护的资源创建简单的Web应用程序的过程。
- 春季安全指南 - 逐步指南如何使用弹簧安全性。
- 防止跨站点脚本(XSS)攻击 - 本文解释了XSS攻击的工作方式,并提出了阻止XSS攻击的方法。
- Java安全资源中心 - Java平台不同用户的安全详细信息集合。
实践
- 使用SSL/TLS加密逐步指南,用于加密客户端和服务器通信
规格
- JSR 115:容器的Java授权合同
- JSR 196:容器的Java身份验证服务提供商界面
- JSR 375:Java EE安全API
其他
报告错误
贡献
找到了一个很棒的项目,软件包,文章或与Java安全有关的其他类型的资源?打开拉动请求!只需遵循准则即可。谢谢你!
执照
