Аудит ИТ-безопасности. Решения с открытым кодом

Сканирование уязвимостей и тестирование на проникновение

Кибербезопасность (IT безопасность) включает в себя контроль физического доступа к оборудованию, а также защиту от атак, происходящих через доступ к сети, внедрение данных и внедрение кода.

Нормативная база Республики Молдова:
Закон № 48/2023 о кибербезопасности
Закон № 124/2022 об электронной идентификации и доверительных услугах
Закон № 142/2018 об обмене данными и интероперабельности
Постановление Парламента № 257/2018 об утверждении Стратегии информационной безопасности Республики Молдова на 2019–2024 годы и Плана действий по ее внедрению
Закон № 241/2007 об электронных коммуникациях
Закон № 133/2011 о защите персональных данных
Закон № 71/2007 о регистрах
Закон № 467/2003 об информатизации и государственных информационных ресурсах
Закон № 1069/2000 об информатике

Нормативная база EU
Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union [En]

Рекомендации.
Если какое-то из решений вас заинтересовало, или вы предполагаете, что оно имеет хорошую перспективу для развития, или вы можете адаптировать программное обеспечение к потребностям граждан, органов власти, бизнеса или общественных организаций в Молдове, то вы можете:

отправлять предлагаемые улучшения в виде запросов на включение изменений (ru, GitHub) (en.Creating a Pull Request, GitHub), или
опубликовать модификацию в виде собственного ответвления / вилки (ru, Github) (en. Fork, Github) для пользователей с аналогичными предпочтениями.

1. Международные решения

#	Open Source Solution	Web	Licence
1	Google / OSV-Scanner Use OSV-Scanner to find existing vulnerabilities affecting your project’s dependencies. OSV-Scanner provides an officially supported frontend to the OSV database that connects a project’s list of dependencies with the vulnerabilities that affect them. Since the OSV.dev database is open source and distributed, it has several benefits in comparison with closed source advisory databases and scanners.	google.github.io/osv-scanner	BSD-3
2	Hack-with-Github / Awesome-Hacking A collection of various awesome lists for hackers, pentesters and security researchers.	no website	CC0-1.0
3	sqlmapproject / sqlmap sqlmap is an open source penetration testing tool that automates the process of detecting and exploiting SQL injection flaws and taking over of database servers. It comes with a powerful detection engine, many niche features for the ultimate penetration tester, and a broad range of switches including database fingerprinting, over data fetching from the database, accessing the underlying file system, and executing commands on the operating system via out-of-band connections.	sqlmap.org	GNU
4	sullo / nikto Nikto web server scanner.	cirt.net/Nikto2	GPL-2.0
5	aquasecurity / cloudsploit CloudSploit by Aqua — Cloud Security Scans. CloudSploit by Aqua is an open-source project designed to allow detection of security risks in cloud infrastructure accounts, including: Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI), and GitHub. These scripts are designed to return a series of potential misconfigurations and security risks.	aquasec.com	GPL-3.0
6	OWASP / Nettacker OWASP Nettacker project is created to automate information gathering, vulnerability scanning and eventually generating a report for networks, including services, bugs, vulnerabilities, misconfigurations, and other information.	owasp.org/www-project-nettacker	Apache-2.0
7	OWASP / www-project-zap OWASP Zed Attack Proxy (ZAP) is one of the world’s most popular free security tools and is actively maintained by a dedicated international team of volunteers. Great for pentesters, devs, QA, and CI/CD integration.	owasp.org/www-project-zap	Apache-2.0
8	greenbone / openvas-scanner This repository contains the scanner component for Greenbone Community Edition.	greenbone.github.io/…/openvas-scanner	GPL-2.0
9	OpenSCAP / openscap Open Source Security Compliance Solution. The oscap program is a command line tool that allows users to load, scan, validate, edit, and export SCAP documents.	open-scap.org/tools/openscap-base	LGPL-2.1
10	wapiti-scanner / wapiti Web vulnerability scanner written in Python3.	wapiti-scanner.github.io	GPL-2.0

2. Устаревшие решения

Решения с открытым исходным кодом, которое не обновляется более 1 года, но потенциально могут быть интересны конечным пользователям.
Мы не даем никаких рекомендаций по использованию или не использованию решений, перечисленных ниже. Ваше решение полностью зависит от вас.

#	Open Source Solution	Web	Licence
1	craigz28 / firmwalker A simple bash script for searching the extracted or mounted firmware file system. It will search through the extracted or mounted firmware file system for things of interest.	No website	GPL-3.0