InfoWorld 在部署、運營和保障網路安全領域精選出了年度開源工具獲獎者。

最佳開源網路和安全軟體

BIND, Sendmail, OpenSSH, Cacti, Nagios, Snort -- 這些為了網路而生的開源軟體，好些傢伙們老而彌堅。今年在這個範疇的最佳選擇中，你會發現中堅、支柱、新人和新貴雲集，它們正在完善網路管理，安全監控，漏洞評估，rootkit 檢測，以及很多方面。

Icinga 2

Icinga 起先只是系統監控應用 Nagios 的一個衍生分支。Icinga 2 經歷了完全的重寫，為使用者帶來了時尚的介面、對多資料庫的支援，以及一個集成了眾多擴充套件的 API。憑藉著開箱即用的負載均衡、通知和配置檔案，Icinga 2 縮短了在複雜環境下安裝的時間。Icinga 2 原生支援 

管理員可以檢視、過濾、並按優先順序排列發現的問題，同時可以跟蹤已經採取的動作。一個新的矩陣檢視使管理員能夠在單一頁面上檢視主機和服務。你可以通過檢視特定時間段的事件或篩選事件型別來了解哪些事件需要立即關注。雖然 Icinga Web 2 有著全新介面和更為強勁的效能，不過對於傳統版 Icinga 和 Web 版 Icinga 的所有常用命令還是照舊支援的。這意味著學習新版工具不耗費額外的時間。

-- Fahmida Rashid

Zenoss Core

這

是另一個強大的開源軟體，Zenoss Core 為網路管理員提供了一個完整的、一站式解決方案來跟蹤和管理所有的應用程式、伺服器、儲存、網路元件、虛擬化工具、以及企業基礎架構的其他元素。管理員可以確保硬體的執行效率並利用 ZenPacks 中模組化設計的外掛來擴充套件功能。

在2015年二月釋出的 Zenoss Core 5 保留了已經很強大的工具，並進一步改進以增強使用者介面和擴充套件 儀表盤。基於 Web 的控制檯和 儀表盤 可以高度可定製並動態調整，而現在的新版本還能讓管理員混搭多個元件圖表到一個圖表中。想來這應該是一個更好的根源分析和因果分析的工具。

Portlets 為網路對映、裝置問題、守護程序、產品狀態、監視列表和事件檢視等等提供了深入的分析。而且新版 HTML5 圖表可以從工具匯出。Zenoss 的控制中心支援帶外管理並且可監控所有 Zenoss 元件。Zenoss Core 現在擁有一些新工具，用於線上備份和恢復、快照和回滾以及多主機部署等方面。更重要的是，憑藉對 Docker 的全面支援，部署起來更快了。

-- Fahmida Rashid

OpenNMS

作為一個非常靈活的網路管理解決方案，OpenNMS 可以處理任何網路管理任務，無論是裝置管理、應用效能監控、庫存控制，或事件管理。憑藉對 IPv6 的支援、強大的警報系統和記錄使用者指令碼來測試 Web 應用程式的能力，OpenNMS 擁有網路管理員和測試人員需要的一切。OpenNMS 現在變得像一款移動版 儀表盤，稱之為 OpenNMS Compass，可讓網路專家隨時，甚至在外出時都可以監視他們的網路。

該應用程式的 IOS 版本，可從 iTunes App Store 上獲取，可以顯示故障、節點和告警。下一個版本將提供更多的事件細節、資源圖表、以及關於 IP 和 SNMP 介面的資訊。安卓版可從 Google Play 上獲取，可在 儀表盤 上顯示網路可用性，故障和告警，以及可以確認、提升或清除告警。移動客戶端與 OpenNMS Horizon 1.12 或更高版本以及 OpenNMS Meridian 2015.1.0 或更高版本相容。

-- Fahmida Rashid

Security Onion

如同一個洋蔥，網路安全監控是由許多層組成。沒有任何一個單一的工具可以讓你洞察每一次攻擊，為你顯示對你的公司網路中的每一次偵查或是會話的足跡。Security Onion 在一個簡單易用的 Ubuntu 發行版中打包了許多久經考驗的工具，可以讓你看到誰留在你的網路裡，並幫助你隔離這些壞傢伙。

無論你是採取主動式的網路安全監測還是追查可能的攻擊，Security Onion 都可以幫助你。Onion 由感測器、伺服器和顯示層組成，結合了基於網路和基於主機的入侵檢測，全面的網路資料包捕獲，並提供了所有型別的日誌以供檢查和分析。

這是一個眾星雲集的的網路安全工具鏈，包括用於網路抓包的 Netsniff-NG、基於規則的網路入侵檢測系統 Snort 和 Suricata，基於分析的網路監控系統 Bro，基於主機的入侵檢測系統 OSSEC 和用於顯示、分析和日誌管理的 Sguil、Squert、Snorby 和 ELSA （企業日誌搜尋和歸檔Enterprise Log Search and Archive）。它是一個經過精挑細選的工具集，所有的這些全被打包進一個嚮導式的安裝程式並有完整的文件支援，可以幫助你儘可能快地上手監控。

-- Victor R. Garza

Kali Linux

Kali Linux 背後的團隊今年為這個流行的安全 Linux 發行版釋出了新版本，使其更快，更全能。Kali 採用全新 4.0 版的核心，改進了對硬體和無線驅動程式的支援，並且介面更為流暢。最常用的工具都可從螢幕的側邊欄上輕鬆找到。而最大的改變是 Kali Linux 現在是一個滾動發行版，具有持續不斷的軟體更新。Kali 的核心繫統是基於 Debian Jessie，而且該團隊會不斷地從 Debian 測試版拉取最新的軟體包，並持續的在上面新增 Kali 風格的新特性。

該發行版仍然配備了很多的滲透測試，漏洞分析，安全審查，網路應用分析，無線網路評估，逆向工程，和漏洞利用工具。現在該發行版具有上游版本檢測系統，當有個別工具可更新時系統會自動通知使用者。該發行版還提過了一系列 ARM 裝置的映象，包括樹莓派、Chromebook 和 Odroid，同時也更新了 Android 裝置上執行的 NetHunter 滲透測試平臺。還有其他的變化：Metasploit 的社群版/專業版不再包括在內，因為 Kali 2.0 還沒有 Rapid7 的官方支援。

-- Fahmida Rashid

OpenVAS

開放式漏洞評估系統OpenVAS，Open Vulnerability Assessment System，是一個整合多種服務和工具來提供漏洞掃描和漏洞管理的軟體框架。該掃描器可以使用每週更新一次的網路漏洞測試資料，或者你也可以使用商業服務的資料。該軟體框架包括一個命令列介面（以使其可以用指令碼呼叫）和一個帶 SSL 安全機制的基於 Greenbone 安全助手 的瀏覽器介面。OpenVAS 提供了用於附加功能的各種外掛。掃描可以預定執行或按需執行。

可通過單一的主控來控制多個安裝好 OpenVAS 的系統，這使其成為了一個可擴充套件的企業漏洞評估工具。該專案相容的標準使其可以將掃描結果和配置儲存在 SQL 資料庫中，這樣它們可以容易地被外部報告工具訪問。客戶端工具通過基於 XML 的無狀態 OpenVAS 管理協議訪問 OpenVAS 管理器，所以安全管理員可以擴充套件該框架的功能。該軟體能以軟體包或原始碼的方式安裝在 Windows 或 Linux 上執行，或者作為一個虛擬應用下載。

-- Matt Sarrel

OWASP

OWASP（開放式 Web 應用程式安全專案Open Web Application Security Project）是一個專注於提高軟體安全性的在全球各地擁有分會的非營利組織。這個社群性的組織提供測試工具、文件、培訓和幾乎任何你可以想象到的開發安全軟體相關的軟體安全評估和最佳實踐。有一些 OWASP 專案已成為很多安全從業者工具箱中的重要元件：

ZAP（ZED 攻擊代理專案Zed Attack Proxy Project）是一個在 Web 應用程式中尋找漏洞的滲透測試工具。ZAP 的設計目標之一是使之易於使用，以便於那些並非安全領域專家的開發人員和測試人員能便於使用。ZAP 提供了自動掃描和一套手動測試工具集。

Xenotix XSS Exploit Framework 是一個先進的跨站點指令碼漏洞檢測和漏洞利用框架，該框架通過在瀏覽器引擎內執行掃描以獲取真實的結果。Xenotix 掃描模組使用了三個智慧模糊器intelligent fuzzers，使其可以執行近 5000 種不同的 XSS 有效載荷。它有個 API 可以讓安全管理員擴充套件和定製漏洞測試工具包。

O-Saft（OWASP SSL 高階審查工具OWASP SSL advanced forensic tool）是一個檢視 SSL 證書詳細資訊和測試 SSL 連線的 SSL 審計工具。這個命令列工具可以線上或離線執行來評估 SSL ，比如演算法和配置是否安全。O-Saft 內建提供了常見漏洞的檢查，你可以容易地通過編寫指令碼來擴充套件這些功能。在 2015 年 5 月加入了一個簡單的圖形使用者介面作為可選的下載項。

OWTF（攻擊性 Web 測試框架Offensive Web Testing Framework）是一個遵循 OWASP 測試指南和 NIST 和 PTES 標準的自動化測試工具。該框架同時支援 Web 使用者介面和命令列，用於探測 Web 和應用伺服器的常見漏洞，如配置失當和軟體未打補丁。

-- Matt Sarrel

BeEF

Web 瀏覽器已經成為用於針對客戶端的攻擊中最常見的載體。BeEF （瀏覽器漏洞利用框架專案Browser Exploitation Framework Project），是一種廣泛使用的用以評估 Web 瀏覽器安全性的滲透工具。BeEF 通過瀏覽器來啟動客戶端攻擊，幫助你暴露出客戶端系統的安全弱點。BeEF 建立了一個惡意網站，安全管理員用想要測試的瀏覽器訪問該網站。然後 BeEF 傳送命令來攻擊 Web 瀏覽器並使用命令在客戶端機器上植入軟體。隨後管理員就可以把客戶端機器看作不設防般發動攻擊了。

BeEF 自帶鍵盤記錄器、埠掃描器和 Web 代理這樣的常用模組，此外你可以編寫你自己的模組或直接將命令傳送到被控制的測試機上。BeEF 帶有少量的演示網頁來幫你快速入門，使得編寫更多的網頁和攻擊模組變得非常簡單，讓你可以因地適宜的自定義你的測試。BeEF 是一個非常有價值的評估瀏覽器和終端安全、學習如何發起基於瀏覽器攻擊的測試工具。可以使用它來向你的使用者綜合演示，那些惡意軟體通常是如何感染客戶端裝置的。

-- Matt Sarrel

Unhide

Unhide 是一個用於定位開放的 TCP/UDP 埠和隱藏在 UNIX、Linux 和 Windows 上的程序的審查工具。隱藏的埠和程序可能是由於執行 Rootkit 或 LKM（可載入的核心模組loadable kernel module） 導致的。Rootkit 可能很難找到並移除，因為它們就是專門針對隱蔽性而設計的，可以在作業系統和使用者前隱藏自己。一個 Rootkit 可以使用 LKM 隱藏其程序或冒充其他程序，讓它在機器上執行很長一段時間而不被發現。而 Unhide 則可以使管理員們確信他們的系統是乾淨的。

Unhide 實際上是兩個單獨的指令碼：一個用於程序，一個用於埠。該工具查詢正在執行的程序、執行緒和開放的埠並將這些資訊與系統中註冊的活動比較，報告之間的差異。Unhide 和 WinUnhide 是非常輕量級的指令碼，可以執行命令列而產生文字輸出。它們不算優美，但是極為有用。Unhide 也包括在 Rootkit Hunter 專案中。

-- Matt Sarrel

檢視更多的開源軟體優勝者

InfoWorld 網站的 2015 年最佳開源獎由下至上表揚了 100 多個開源專案。通過以下連結可以檢視更多開源軟體中的翹楚：