Uma avaliação de vulnerabilidade é um exame metódico da infraestrutura de rede, sistemas de computador e software, identificando e resolvendo falhas de segurança. Depois de identificá-las, são classificadas com base em quão crítico é corrigi-las/mitigá-las.
As equipes de segurança podem usar as descobertas de uma avaliação de vulnerabilidade para entender melhor a postura de segurança d rede e implementar medidas de proteção.
Todas as ferramentas de avaliação de vulnerabilidade de código aberto listadas abaixo podem ser baixadas e usadas gratuitamente.
Aqua Trivy
Aqua Trivy detecta vulnerabilidades e fornece uma explicação de risco para que os desenvolvedores possam decidir quais componentes desejam usar em seus aplicativos e contêineres.
O Trivy possui diferentes scanners, que procuram diferentes problemas de segurança e alvos, onde podem encontrá-los.
Clara
Clair faz a análise estática de vulnerabilidades em contêineres de aplicativos (atualmente incluindo OCI e docker). Os clientes usam a API Clair para indexar suas imagens de contêiner e podem combiná-las com vulnerabilidades conhecidas.
Tsunami
Tsunami é um scanner de segurança de rede de uso geral, com plug-in extensível que detecta vulnerabilidades de alta gravidade, com alta confiança. Tsunami é fácil de dimensionar, executa rápido e verifica de forma não intrusiva.
vaf
Vaf é um web fuzzer multiplataforma com recursos como: encadeamento rápido, fuzzing de cabeçalho HTTP e proxy.
Zed Attack Proxy
O Zed Attack Proxy (ZAP) é uma ferramenta de pentesting mantida projetada especificamente para testar aplicativos da Web, é flexível e extensível. Pode-se usá-la em um raspberry pi.
FONTE: aqui