elasticphp

A. php怎麼調用elasticsearch

ElasticSearch是一個基於Lucene的穩定的、分布式、RESTFul的搜索引擎。其實所謂的RestFul就是它提供URL供你調用（建立索引和進行檢索），不過直接這樣使用實在是太兇殘了。所以，它也提供了一系列client包，相當於將curl請求封裝了，client包支持的語言包括Java、PHP、Python、Ruby和Perl等等。
PHP版的client包叫做elasticsearch-php，可以在Git_hub上下載。地址如下：https://github.com/elasticsearch/elasticsearch

要使用elasticsearch-php有如下三個要求：
1.PHP的版本在5.3.9以上，我用的是PHP5.3.23
2.在項目中使用Composor來管理包，下載地址如下：https://getcomposer.org/
3.在php.ini中開啟curl和openssl
要使用elasticsearch，需要JDK的版本大於6，最好選擇8吧，因為7有漏洞....
截一張需要的包圖：

啟動elasticsearch很簡單，直接進入解壓目錄，運行elasticsearch.bat就可以了，看到最後console輸出start，就啟動成功了。

接下來介紹如何使用elasticsearch-php：

1.新建一個文件夾取名為test，此為項目文件夾
2.在裡面放入一個命名為composer.json的文件，文件內容為：

{
"require":{
"elasticsearch/elasticsearch" : "~1.2"
}
}
3.將composer.phar拷貝到test文件夾中，cd 到test文件夾，輸入命令：php composer.phar install --no-dev 等待安裝成功

這個時候test文件夾下面應該會出現vendor文件夾，裡面有elasticsearch、composer、guzzle等文件夾，很多內容
4.這個時候，就可以使用elasticsearch進行建立索引和進行檢索了

<?php
require_once('vendor/autoload.php');
function get_conn(){
$host = 'ip';
$dbname = 'dbname';
$user = 'user';
$passwd = 'passwd';

$conn = new PDO("pgsql:dbname=$dbname;host=$host",$user,$passwd);
return $conn;
}

function create_index(){
//Elastic search php client
$client = new Elasticsearch\Client();
$sql = "SELECT * FROM log";
$conn = get_conn();
$stmt = $conn->query($sql);
$rtn = $stmt->fetchAll();

//delete index which already created
$params = array();
$params['index'] = 'log_index';
$client->indices()->delete($params);

//create index on log_date,src_ip,dest_ip
$rtnCount = count($rtn);
for($i=0;$i<$rtnCount;$i++){
$params = array();
$params['body'] = array(
'log_date' => $rtn[$i]['log_date'],
'src_ip' => $rtn[$i]['src_ip'],
'dest_ip' => $rtn[$i]['dest_ip']
);
$params['index'] = 'log_index';
$params['type'] = 'log_type';

//Document will be indexed to log_index/log_type/autogenerate_id
$client->index($params);
}
echo 'create index done!';
}

function search(){
//Elastic search php client
$client = new Elasticsearch\Client();
$params = array();
$params['index'] = 'log_index';
$params['type'] = 'log_type';
$params['body']['query']['match']['src_ip'] = '1.122.33.141';

$rtn = $client->search($params);
var_mp($rtn);
}

set_time_limit(0);
//create_index();
search();
?>

B. ECS阿里雲伺服器支持PHPJAVA，那我想問的是，為什麼ECS能支持這兩個語言開發而Tomcat\Apache只支持一種

用阿里頁面上的一句話：雲伺服器（Elastic Compute Service 簡稱ECS）是一種簡單高效，處理能力可彈性伸縮的計算服務。
ECS你可以當作是你在商城裡租（之所以是租，你想想就能明白的）了一台電腦，那不屬於你，交租子你就可以隨便使用，系統也可以隨便裝。
然後不管是你想在這個系統上運行PHP還是Java，甚至是打游戲，都由你自己決定的。
而Tomcat/Apache是服務，運行在系統（ECS）中的軟體，它們是沒有可比性的。

C. 雲OS的產品

一般來講，國內外大的網站，比如Google、網易、騰訊等，都有該類產品，但由於該系統是各自的核心競爭力，都是自產自用，並對外發售。比如市面上的兩家廠商，一是VMware的vSphere，該產品是虛擬化技術衍生出來的，管理的設備數量有限；二是浪潮的雲海，浪潮雲海是第一款國產的雲計算中心操作系統，採用「linux+Xen」開放標准技術路線，支持分布式計算、分布式存儲等，性能更好、可用性更強、成本更低，但是要到2010年底才能發布。兩者的不同處在於：浪潮雲海OS是一個產品化、模塊化的通用雲操作系統，適合於各種類型的雲計算應用；VMware的產品更多是針對虛擬化整合，面向私有雲等小規模雲應用；
Vmware與浪潮雲OS的具體區別為：
1、共享存儲與分布式雲存儲：VMware雲操作系統依賴於共享存儲，一旦共享存儲宕機，將導致所有虛擬機業務的崩潰；浪潮雲海雲操作系統構建了塊設備的雲存儲，安全性更高。
2、大規模管理架構；浪潮雲海OS採用多級聯管理體系，可以通過級聯方式實現資源的整合管理，可以有效實現萬量級的資源管理。管理能力更強，適用性更好；VMwareOS管理規模較小。
3、資源調度與節能管理：浪潮雲海OS可有效實現大規模基礎軟硬體資源監控，可以完成長期的業務負載和資源情況的統計分析，可以依據負載情況實現業務、資源的動態調度，在滿足客戶需求情況下，有效提高資源利用率。同時，對夜間、節假日時的閑置資源，可自動轉入節能模式，符合綠色、低碳的數據中心運營需求。
4、業務管理：VMware雲OS側重於硬體資源的管理，包括計算、存儲和網路；浪潮雲OS，即可以管理硬體資源，還可以管理軟體資源，包括單機OS、資料庫、中間件等。 雲伺服器（Elastic Compute Service, 簡稱ECS）是一種處理能力可彈性伸縮的計算服務，其管理方式比物理伺服器更簡單高效。雲伺服器幫助您快速構建更穩定、安全的應用，降低開發運維的難度和整體IT成本，使您能夠更專注於核心業務創新。比如，阿里雲服務就是做的比較完善的生態系統。 負載均衡 SLB 負載均衡（Server Load Balancer，簡稱SLB）是對多台雲伺服器進行流量分發的負載均衡服務。SLB可以通過流量分發擴展應用系統對外的服務能力，通過消除單點故障提升應用系統的可用性。 關系型資料庫服務 RDS 提供安全穩定雲資料庫服務！
關系型資料庫服務（Relational Database Service，簡稱RDS）是一種穩定可靠、可彈性伸縮的在線資料庫服務。RDS採用即開即用方式，兼容MySQL、SQL Server兩種關系型資料庫，並提供資料庫在線擴容、備份回滾、性能監測及分析功能。RDS與雲伺服器搭配使用I/O性能倍增，內網互通避免網路瓶頸。 開放存儲服務 OSS 開放存儲服務（OpenStorageService，簡稱OSS），是阿里雲對外提供的海量，安全，低成本，高可靠的雲存儲服務。用戶可以通過簡單的API（REST方式的介面），在任何時間、任何地點、任何互聯網設備上進行數據上傳和下載。 開放數據處理服務 ODPS 開放數據處理服務（Open Data Processing Service，簡稱ODPS）提供雲端數據倉庫服務。適用於金融、零售、製造業和電商企業的BI團隊進行海量數據分析和挖掘。 開放結構化數據服務 OTS 開放結構化數據服務（Open Table Service，簡稱OTS）是一種支持海量結構化和半結構化數據存儲與實時查詢的服務。 內容分發網路 CDN 內容分發網路（Content Delivery Network，簡稱CDN）將加速內容分發至離用戶最近的節點，縮短用戶查看對象的延遲，提高用戶訪問網站的響應速度與網站的可用性。 開放緩存服務 OCS 開放緩存服務（Open Cache Service，簡稱OCS）為在線緩存服務，實現熱點數據的快速響應及數據的持久化保存；支持Key-Value的數據結構，兼容Memcached協議。 雲引擎 ACE 雲引擎（Aliyun Cloud Engine，簡稱ACE）是一個基於雲計算基礎架構的網路應用程序託管環境，幫助應用開發者簡化網路應用程序的構建和維護，並可根據應用訪問量和數據存儲的增長進行擴展。 ACE支持PHP,NODE.JS語言編寫的應用程序；支持在線創建MYSQL遠程資料庫應用。 安全與監控 雲盾
雲盾為客戶提供基於雲端的DDoS防禦、入侵防禦及網站的應用安全監測等全方位的安全防禦服務。 雲監控 雲監控高效全面的監控雲伺服器和站點，幫助用戶時刻掌握雲服務運行狀態。
負載均衡
負載均衡（Software Load Balancing，簡稱SLB）通過設置虛擬IP，將位於同一數據中心的多台雲伺服器資源虛擬成一個高性能、高可用的應用服務池，再根據應用特性，將來自客戶端的網路請求分發到雲伺服器池中。SLB 會檢查池中雲伺服器的健康狀態，自動隔離異常狀態雲伺服器。同時，SLB 還可以增強雲伺服器池的抗攻擊能力、安全隔離應用和雲伺服器。雲伺服器無須特殊設置即可透明接入SLB。
雲盾
為雲伺服器提供一站式安全增值服務，包括安全體檢（網頁漏洞檢測、網頁掛馬檢測）、安全管家（防DDOS 服務、埠安全檢測、網站後門檢測、異地登錄提醒、主機密碼暴力破解防禦）等功能。
雲監控
為雲伺服器提供第三方監控服務，可以及時發現故障並通過多種方式告警，包括網站、Ping、TCP埠、UDP埠、DNS、POP3、SMTP、FTP等監控。雲監控除了可以為ECS 提供安全有效的監控服務外，還能夠為其他自由伺服器提供監控服務，用戶只需要通過簡單的配置即可實現各種監控需求。 開放存儲服務（OSS）是阿里雲對外提供的海量、安全、低成本和高可靠的雲存儲服務。OSS 支持海量的文
件儲存，同時在多個地方調用呈現，極大地簡化了用戶數據管理、遷移和更新的工作。
用戶可以通過簡單的RESTful 介面，在任何時間、任何地點、任何互聯網設備上進行上傳和下載數據，也可以使用Web 頁面對數據進行管理。OSS 已經在多個雲存儲服務、電子商務網站和手機應用網站中使用，提供包括圖片、軟體和音視頻文件在內的存儲和互聯網訪問服務。
海量
用戶可以存儲和管理多達上千億個數據對象(data object，可以是任何內容的文件，如數據記錄，圖片，流媒體文件等)，每個數據對象大小可達20GB。OSS還能通過對象組合的方法構建最大5TB的單一對象。
安全
OSS使用加密對來保證用戶數據被安全訪問，對於指定為私有的數據，只有使用加密對才能訪問。用戶可以隨時設定自己的數據訪問許可權。
高可用、高可靠
OSS擁有數據自動冗餘、故障自動恢復的能力。OSS向用戶承諾服務全年可用性99.9%，數據可靠性大於十個9。
多功能
OSS支持類似傳統文件系統的目錄結構，便於用戶組織數據。存儲在OSS的每個數據對象都擁有唯一的URL，便於用戶在網頁或移動應用上展示。OSS提供了PHP，Python，Java等多種語言的SDK。
低成本
用戶按照每天實際的資源使用付費，無需為高速增長的業務提前付出費用。 開放結構化數據服務（Open Table Service，簡稱OTS）是構建在飛天內核之上的海量結構化和半結構化數據存儲與實時訪問的服務。
OTS以數據表的形式組織數據，保證強一致性，提供跨表的事務支持，並提供視圖和分頁的功能來加速查詢。用戶可以通過RESTful API來使用服務，也可使用Web 頁面對數據進行管理。同時，OTS 提供多語言SDK以簡化用戶的編程。OTS適用於數據規模大且實時性要求高的應用。
數據安全可靠
OTS 服務運行在飛天內核之上，所有數據都有3 份備份；OTS 服務會自動處理集群中的硬體和軟體錯誤，對用戶屏蔽這些錯誤；用戶的數據在存儲層完全隔離，並且用戶對數據的訪問必須通過身份驗證。
可擴展性
OTS 支持超過百TB 數量級的數據，通過對表進行橫向切分（partitioning）來實現規模的擴展；數據分片均勻地散落到多個存儲節點上，並且數據分區在增長之後會自動分裂以達到分區的動態平衡。因此，可以通過增加機器和調整調度實現服務整體規模的擴展。
靈活的數據模型
表包含任意多行的數據，每一行可以包含任意多個列，不需要在創建表的時候指定schema，支持視圖和表組等高級功能。
簡單高效的API
支持單行與多行的讀寫操作，支持事務操作。單行讀寫操作的延遲在10 毫秒級別。
全託管式服務
OTS服務會根據用戶的數據規模和QPS 需求進行合理的調度和調優，用戶無須關心資料庫的管理、調優和容錯處理。這樣，用戶可以專注在應用層邏輯，通過OTS 節省成本。此外，OTS 還向用戶提供詳細的資源使用統計、性能指標和操作日誌，方便用戶調查錯誤和分析應用的行為。 關系型資料庫服務（RDS）提供了即時接入、彈性伸縮，可用而且可靠的資料庫服務，幫助用戶把基於傳統關系型資料庫的各類應用搬到雲上。
RDS通過Web方式為用戶提供可以在幾分鍾內生成並投入生產的、經過優化的資料庫實例，支持MySQL和微軟SQL Server這兩種關系型資料庫，適合於各行業中小企業的關系型資料庫應用。
安全穩定
RDS 集群處於多層防火牆的保護之下，可以有力地抗擊各種惡意攻擊，保證數據的安全。允許您設置訪問白名單，免除安全隱患。
數據可靠
RDS 採用主從熱備的集群架構方式，當出現硬體故障時，30 秒內完成自動切換。建議您的應用程序支持資料庫連接自動重連。
自動備份
RDS 根據您自定義的備份策略自動備份您的資料庫。防止數據丟失和誤刪除，保證您的數據安全可靠。
管理透明
您無需維護資料庫，只需根據自己的需要選擇相應的RDS 實例，部署簡單快速。大大節省用戶的硬體成本和維護成本。

D. 阿里雲ecs怎麼配置php環境

雲伺服器Elastic Compute Service（ECS）是阿里雲提供的一種基礎雲計算服務。
使用雲伺服器ECS就像使用水、電、煤氣等資源一樣便捷、高效。您無需提前采購硬體設備，而是根據業務需要，隨時創建所需數量的雲伺服器ECS實例。在使用過程中，隨著業務的擴展，您可以隨時擴容磁碟、增加帶寬。如果不再需要雲伺服器，也能隨時釋放資源，節省費用。
ECS涉及的所有資源，包括實例規格、塊存儲、鏡像、快照、帶寬和安全組。您可以通過 雲伺服器管理控制台或者 阿里雲 App 配置您的ECS資源。
雲伺服器ecs都有哪些作用呢？

1、完全管理許可權：
對雲伺服器的操作系統有完全控制權，用戶可以通過連接管理終端自助解決系統問題，進行各項操作；
2、快照備份與恢復：
對雲伺服器的磁碟數據生成快照，用戶可使用快照回滾、恢復以往磁碟數據，加強數據安全；
3、自定義鏡像：
對已安裝應用軟體包的雲伺服器，支持自定義鏡像、數據盤快照批量創建伺服器，簡化用戶管理部署；
4、擁有API介面：
使用ECS API調用管理，通過安全組功能對一台或多台雲伺服器進行訪問設置，使開發使用更加方便。

E. 安全開發你必須使用的28個DevSecOps工具

將安全融入開發過程，更早捕獲並修復應用漏洞，你需要這五類共28款DevSecOps工具。

DevSecOps 是將安全集成到整個應用開發周期的過程，是從內到外強化應用，使其能夠抵禦各種潛在威脅的理想方式。因為很多公司企業不斷開發應用以滿足客戶和商業合作夥伴的需求，DevSecOps的吸引力也與日俱增。

敏捷開發方法與DevOps操作幫助公司企業達成持續開發的目標。雲原生應用架構也成芹尺為了DevSecOps運動的有力貢獻者，推動採用公共雲提供商、容器技術和容器平台為應用提供計算能力。DevSecOps將安全過程與工具集成進工作流並加以自動化，擺脫了傳統方法按時間點進行的潛在干擾，是個無縫且持續的過程。

咨詢公司 Data Bridge Market Research 稱，鑒於網路安全威脅數量與危害性的持續上升，全球DevSecOps市場預計將從2018年的14.7億美元增長至2026年的136.3億美元。

市場繁榮之下，DevSecOps工具必將呈現百花齊放百家爭鳴的局面。下面就按核心門類為您呈上多款優秀DevSecOps工具。

開發應用的時候很容易忽略掉安全漏洞。下面的工具為開發人員提供了潛在安全異常及缺陷的警報功能，可供開發人員及時調查並修復這些漏洞，不至於走得太遠回不了頭。有些工具專用於警報功能，比如開源的Alerta 。其他工具則兼具測試等別的功能，比如 Contrast Assess。

1. Alerta

(https://alerta.io/)

該開源工具可將多個來源的信息整合去重，提供快速可視化功能。Alerta與Prometheus、Riemann、Nagios、Cloudwatch及其他監視/管理服務集成，開發人員可通過API按需定製Alerta。

2. Contrast Assess

(https://www.contrastsecurity.com/interactive-application-security-testing-iast)

作為一款互動應用安全測試(IAST)工具，Contrast Assess 與用戶應用集成，在後台持續監視代碼，並在發現安全漏洞時發出警報。據稱即便是非安全開發人員也可使用 Contrast Assess 自行識別並修復漏洞。

3. Contrast Protect

(https://www.contrastsecurity.com/runtime-application-self-protection-rasp)

該運行時應用自保護(RASP)工具採用了 Contrast Assess 同款嵌入式代理。Contrast Protect 在生產環境中查找漏洞利用程序和未知威脅，並將結果提交給安全信息及事件管理(SIEM)控制台、防火牆或其他安全工具。

4. ElastAlert

(https://elastalert.readthedocs.io/en/latest/)

ElastAlert提供近實時接收警報的框架，可接收來自Elasticsearch數據的安全異常、流量激增及其他模式。ElastAlert查詢Elasticsearch並根據一系列規則比較這些數據。一旦出現匹配，ElastAlert便發出警報並隨附建議動作。

大多數DevSecOps工具都提供一定程度的自動化。此類工具自動掃描、發現並修復安全缺陷，只是搜首飢自動化程度各有不同，從條件式事件驅動的自動化到運用深度學習技術的自動化都有。

1. CodeAI

(http://www.qbitlogic.com/codeai/)

旨世返在通過深度學習技術自動查找並修復源代碼中的安全漏洞，號稱可為開發人員提供可供參考的解決方案列表，而不僅僅是安全問題列表。其供應商QbitLogic宣稱，已為CodeAI饋送了數百萬個現實世界漏洞修復樣本供訓練。

2. Parasoft tool suite

(https://www.parasoft.com/)

Parasoft提供包括應用開發安全測試在內的多種自動化工具：

1）Parasoft C/C++test

(https://www.parasoft.com/procts/ctest)

用於開發過程早期缺陷識別；

2）Parasoft Insure++

(https://www.parasoft.com/procts/insure)

可以查找不規范編程及內存訪問錯誤；

3）Parasoft Jtest

(https://www.parasoft.com/procts/jtest)

用於Java軟體開發測試；

4) Parasoft dotTEST

(https://www.parasoft.com/procts/jtest)

以深度靜態分析和高級覆蓋作為 Visual Studio 工具的補充。

3. Red Hat Ansible Automation

(https://www.redhat.com/en/technologies/management/ansible)

該工具包含三個模塊——Ansible Tower、Ansible Engine 和 Red Hat Ansible Network Automation，可作為無代理IT自動化技術單獨或聯合使用。盡管不是專門的安全工具，Ansible Automation 卻可供用戶定義規則以確定自身軟體開發項目中哪些部分是安全的。

4. StackStorm

(https://stackstorm.com)

該開源工具號稱「可進行條件式運營」，其事件驅動的自動化能在檢測到安全漏洞時提供腳本化的修復與響應，並附有持續部署、ChatOps優化等功能。

5. Veracode

(https://www.veracode.com/devsecops)

該公司提供DevSecOps環境中廣泛使用的一系列自動化安全工具，包括在代碼編寫時即時自動掃描的Greenlight；在沙箱中掃描代碼漏洞的 Developer Sandbox；識別漏洞組件的 Software Composition Analysis (SCA)；以及識別應用缺陷的 Static Analysis。

專用DevSecOps儀錶板工具可使用戶在同一圖形界面中查看並共享從開發伊始到運營過程中的安全信息。有些DevSecOps應用，比如ThreatModeler和Parasoft已自帶儀錶板。

1. Grafana

(https://grafana.com/)

該開源分析平台允許用戶創建自定義儀錶板，聚合所有相關數據以可視化及查詢安全數據。如果不想自行構建，還可以在其網站上選用社區構建的儀錶板。

2. Kibana

(https://www.elastic.co/procts/kibana)

如果你使用Elasticsearch，該開源工具可在統一圖形界面中集成成千上萬的日誌條目，包括運營數據、時間序列分析、應用監視等等。

威脅建模DevSecOps工具用以在復雜的攻擊界面中識別、預測並定義威脅，以便用戶可以做出主動安全決策。有些工具可根據用戶提供的系統及應用信息自動構建威脅模型，並提供可視化界面以幫助安全及非安全人員 探索 威脅及其潛在影響。

1. IriusRisk

(https://continuumsecurity.net/threat-modeling-tool/)

出自 Continuum Security 的解決方案，既可雲部署，也可現場部署，能以基於問卷的界面自動化風險及需求分析，並設計出威脅模型和技術性安全要求。IriusRisk還可幫助用戶管理代碼構建及安全測試階段。

2. ThreatModeler

(https://threatmodeler.com/)

該自動化威脅建模系統有兩個版本：AppSec版和雲版。在提供了用戶應用或系統的功能性信息後，ThreatModeler會基於更新的威脅情報自動就整個攻擊界面進行數據分析和潛在威脅識別。

3. OWASP Threat Dragon

(https://www.owasp.org/index.php/OWASP_Threat_Dragon)

一款基於Web的開源工具，提供系統圖解和用於自動化威脅建模與緩解的規則引擎。Threat Dragon 承諾可與其他軟體開發生命周期(SDLC)工具無縫集成，且界面易於使用。

在開發過程中測試應用以找出潛在漏洞是DevSecOps的關鍵部分，能夠事先發現安全漏洞，避免漏洞被黑客利用。盡管其他工具往往包含了測試功能，比如Parasoft出品的那些，下列工具仍然在應用安全測試上表現強勁。

1. BDD-Security

(https://continuumsecurity.net/bdd-security/)

該出自 Continuum Security 的開源框架可使安全人員在敏捷開發過程中測試行為驅動開發(BDD)語言編寫的功能及非功能性安全場景。此BDD框架旨在使安全功能獨立於應用特定的導航邏輯，讓同樣的安全要求能夠更容易地應用到多個應用程序上。

2. Checkmarx CxSAST

(https://www.checkmarx.com/procts/static-application-security-testing/)

可對25種編程及腳本語言進行未編譯/未構建源代碼掃描的靜態應用安全測試(SAST)工具，能在SDLC早期發現成百上千種安全漏洞。CxSAST兼容所有集成開發環境(IDE)，是Checkmarx軟體暴露平台的一部分——該平台可在DevOps所有階段植入安全。Checkmarx的互動式應用安全測試(IAST)工具可檢測運行中應用的安全漏洞。

3. Chef InSpec

(https://github.com/inspec/inspec)

整個開發過程中的每一階段都可以運用該開源工具自動化安全測試以確保針對傳統伺服器及容器和雲API的合規、安全及其他政策要求。

4. Fortify

(https://www.microfocus.com/en-us/solutions/application-security)

Micro Focus 出品，提供端到端應用安全，可供進行覆蓋整個軟體開發生命周期的現場及按需測試。Fortify on Demand 是 Micro Focus 的應用安全即服務產品，提供靜態、動態和移動應用安全測試，以及生產環境中Web應用的持續監視。

5. Gauntlt

(http://gauntlt.org/)

流行測試框架，旨在推動易操作的安全測試及安全、開發和運營團隊間的溝通。GauntIt便於產生攻擊測試用例，且能方便地鉤入現有工具及進程。

6. Synopsys suite

(https://www.synopsys.com/)

Synopsys提供多個應用安全測試工具，包括：

1）SAST工具Coverity

(https://www.synopsys.com/software-integrity/security-testing/static-analysis-sast.html)

自動化測試且融入持續集成/持續交付(CI/CD)管道；

2）SCA工具 Black Duck

(https://www.synopsys.com/software-integrity/security-testing/software-composition-analysis.html)

採用容器及應用中的開源和第三方代碼檢測並管理安全；

3）SeekerIAST

(https://www.synopsys.com/software-integrity/security-testing/interactive-application-security-testing.html)

識別可暴露敏感數據的運行時安全漏洞；

以及一系列用於應用安全測試的託管服務。

以下DevSecOps工具同樣含有上述工具提供的功能，但或多或少略有不同。

1. Aqua Security

(https://www.aquasec.com/)

在整個CI/CD管道和運行時環境中管理端到端安全，可用於所有平台和雲環境的容器及雲原生應用。

2. Dome9 Arc

(https://www.checkpoint.com/solutions/devops-security/)

被 Check Point 收購，提供自動化測試及安全實施，使開發人員能夠將安全及合規融入公共雲應用的構建、部署及運營。

3. GitLab

(https://about.gitlab.com/)

該工具可將DevSecOps架構融入CI/CD過程，在提交時測試每一塊代碼，使開發人員能夠在編程期間緩解安全漏洞，並提供涵蓋所有漏洞的儀錶板。

4. Red Hat OpenShift

(https://www.redhat.com/en/technologies/cloud-computing/openshift)

為基於容器的應用提供內置安全，比如基於角色的訪問控制、以安全增強的Linux(SELinux)實現隔離，以及貫穿整個容器構建過程的核查。

5. RedLock

(https://www.paloaltonetworks.com/procts/secure-the-cloud/redlock/cloud-security-governance)(前身為Evident.io)

Palo Alto Networks 出品，適用於部署階段，幫助開發人員快速發現並緩解資源配置、網路架構及用戶活動中的安全威脅，尤其是在亞馬遜S3存儲桶和彈性塊存儲(EBS)卷上。

6. SD Elements

(https://www.securitycompass.com/sdelements/)

出品自 Security Compass 的自動化平台，旨在收集客戶軟體信息，發現威脅及對策，突出相關安全控制措施以幫助公司企業實現其安全和合規目標。

7. WhiteHat Sentinel 應用安全平台

(https://www.whitehatsec.com/procts/solutions/devsecops/)

該解決方案提供貫穿整個SDLC的應用安全，適用於需將安全集成進工具中的敏捷開發團隊，以及需持續測試以保證生產環境應用安全的安全團隊。

8. WhiteSource

(https://www.whitesourcesoftware.com/)

用於解決開源漏洞，可集成進用戶的生成過程，無論用戶採用什麼編程語言、生成工具或開發環境。WhiteSource使用經常更新的開源代碼資料庫持續檢查開源組件的安全及授權。

F. 編程語言有多少種

不下200種 可以在維基網路搜索List_of_programming_languages
網路貼不了wiki的地址，大概是壟斷吧

A+BAT
A+
A++
A# .NET
A# (Axiom)
A-0
ABAP
ABC
ABC ALGOL
ABLE
ABSET
ABSYS
ACC
Accent
ActionScript
Ace DASL
ACT-III
Ada
APL
AWK

B
BACI
Baja
BASIC
bc
bcompile
BCPL
BeanShell
BETA
Bigwig
Big Snake
Bistro
BLISS
Blitz Basic
Block And List Manipulation (BALM)
Blue - Rejected prototype for Ada
Blue
Boo
Bourne shell - a.k.a sh
Bourne-Again shell - see Bash
Boxx
BPEL - Business Process Execution Language
Brainfuck
BUGSYS
BuildProfessional
BYOND

C
C--
C-script
C++ - ISO/IEC 14882
C# - ISO/IEC 23270
C shell (csh)
Caché ObjectScript - See also Caché Basic
Caml
Cat
Cayenne
C-BOT
Cecil
Cesil
Cg
Ch interpreter (C/C++ interpreter Ch)
Chapel
CHAIN
Charity
Chef
Chey
CHILL
CHIP-8
chomski
Chrome
ChucK
Cilk
CICS
CL
Clarion
Clean
Clipper
CLIST - Programming language for online applications in the MVS TSO environment
CLU
CMS-2
COBOL - ISO/IEC 1989
CobolScript
Cobra
CODE
ColdFusion
COMAL
Common Intermediate Language (CIL)
Common Lisp
Component Pascal
COMIT - List or string processing language
Concurrent Clean
Constraint Handling Rules
CORAL66
Corn
CorVision
COWSEL
CPL
CSP
Csound
Cue
Curl
Curry
Cyclone

D
Dao
DASL - Distributed Application Specification Language
DASL - Datapoint's Advanced Systems Language
DarkBASIC
DarkBASIC Professional
Dataflex
Datalog
dBASE
dc
Deesel (formerly G)
Delphi
Dialect
DinkC
DCL
Dialog Manager
DIBOL
DL/I
Dream Maker
Dylan
Dynace

E
Ease
EASY
Easy PL/I
EASYTRIEVE PLUS
eC (Ecere C)
ECMAScript
eDeveloper
Edinburgh IMP
Einstein
Eiffel
Elan
elastiC
Elf
Emacs Lisp
EGL Programming Language (EGL)
Epigram
Erlang
Escapade - server-side programming
Esterel
Euclid
Euphoria
Euler
EXEC
EXEC2

F
F#
Factor
Fan
Felix
Ferite
F#
FL
FLOW-MATIC
FOCAL
FOCUS
FOIL
FORMAC
Formula language
Forth
Fortran - ISO/IEC 1539
Fortress
FoxPro
FP
Frag Script
Franz Lisp
Frink
Frontier
F-Script

Gambas
G-code
General Algebraic Modeling System
Generic Java
Gibiane
G (LabVIEW)
Gödel
Godiva
GOTRAN (see IBM 1620)
GOTO++
GPSS
GraphTalk
GRASS
Green
Groovy

H - Business processing language from NCR.
HAL/S - Real-time aerospace programming language
HAScript
Haskell - An advanced functional programming language
HaXe - Open Source language which can compile to four different platforms, including PHP and Flash
HyperTalk

IBM Basic assembly language
IBM RPG
ICI
Icon
IDL
IMP
Inform
Information Processing Language (IPL)
Informix-4GL
Io
IPTSCRAE
Interactive System Proctivity Facility

J
J#
J++
JADE
JAG
Jal
Janus
Java
JavaScript
Jim++
JCL
Join Java
JOSS
Joule
JOVIAL
Joy
JScript
JSP
J2EE
J2ME

K
KEE
Kiev
Korn Shell
KIF
Kite
Kogut
KRC
KRL
KRYPTON

L
LabVIEW
Lagoona
LANSA
Lasso
Lava
Leda
Lead
Leadwerks Script
Legoscript
Leopard
Lexico
Lfyre
Liberty BASIC
Limbo
Limnor
LINC
Lingo
Lisaac
Lisp - ISO/IEC 13816
Lite-C
Logo
LOLCODE
LPC
LSL
LSE
Lua
Lucid
Lush
Lustre
LYaPAS
LSL

M4
MAD
MADCAP
MAGIC - See eDeveloper
Magik
Magma
MapBasic
Maple
MAPPER (Unisys/Sperry) now part of BIS
M-A-R-E-K (Programming language)
MARK-IV (Sterling/Informatics) now VISION:BUILDER of CA
Mary
Mathematica
MATLAB
MATA
Maxima (see also Macsyma)
MaxScript internal language 3D Studio Max
Maya (MEL)
Multiprocessor C#
Mercury
Mesa
METAL
Michigan Algorithm Decoder see MAD programming language
Microcode
MicroScript
MillScript
MIMIC
Mindscript
Miranda
Miva
ML
Moby
MODCAP
Model 204 User Language
Mola
Mola-2
Mola-3
Mondrian
Mortran
Moto
MOUSE
MSIL - Deprecated name for Common Intermediate Language
MSL
MONO
MUMPS

Napier88
Natural
Nemerle
NESL
Net.Data
Neuralware
NewtonScript
NGL
Nial
NXT-G
Nice
Nickle
Nosica
NQC
Nu

o:XML
Oberon
Objective Mola-2
Object Lisp
ObjectLOGO
Object Pascal
Objective-C
Objective Caml
Obliq
Objectstar
ObjectView
Ocaml
occam
occam-π
Octave
OmniMark
Opal
Open programming language
OPS5
Organiser Programming Language (OPL) - cf. Psion Organiser
Oxygene
Oz

PARI/GP
Parser
Pascal - ISO 7185
Pawn
PBASIC
PCASTL
PEARL
Perl
Perl Data Language
PHP
Pico
Piet
Pike
PIKT
PILOT
Pizza
PL 11
PL/0
PL/8
PL/B
PL/C
PL/I - ISO 6160
PL/M
PL/P
PL/SQL
Plankalkül
PLD
PLEX
PLEXIL
Pliant
PNGlish
PPL
POP-11
Poplog
PORTRAN
PostScript
Ppc++
Processing
Prograph
Progress 4GL
Prolog
Turbo Prolog
Promela
Protheus
PRO-IV
Python

Q
Qi
QtScript
QuakeC
QPL
Quikcomp (for the Moonrobot XI)

R
R++ - Based on C++ and added semanteme description
Rascal
Ratfiv
Ratfor
RBScript
rc
REPL - Really Easy Programming Language
REBOL - Relative Expression Based Object Language
Red - Rejected prototype for Ada
Redcode
REDO
REFAL
Revolution
REXX
Rigal
Rlab
Robot Scripting Language (RSL)
RPG - Report Program Generator
RPL
RScript
Ruby
Russell Programming Language
REALBasic

S
S2
S-PLUS
S-Lang
SAIL
SAKO
SAM76
SAS
Sather
Scala
ScalPL
SCAR
SCATRAN
Scheme
Scilab
Script.NET
Sed
Seed7
Self
SETL
Shadow Programming Interface (Developing)
ShadowScript
Shift Script
SIGNAL
SiMPLE
SIMPOL
SIMSCRIPT
Simula
SISAL
Slate
SLIP
SMALL - SMALL Machine Algol Like Language
Small
Smalltalk
SNOBOL - String Oriented Symbolic Language
SPITBOL
Snowball
SPARK
Spice
SPIN
SP/k
SPL/1 - aka SPL/I
SPS (1620) - see IBM 1620
Squirrel
SR
SSL
Standard ML
StringLang
Subtext
SuperCollider
Suneido
SYMPL
SyncCharts
Synergy/DE
SystemVerilog

T
TACL
TACPOL
TagsMe
TADS
TIE
Transaction Application Language
Tcl
Transact-SQL
teco
TELCOMP
Telon
Tempo
thinBasic
Titanium
TI-Basic
Today
Tom
TOM
Topspeed - see Clarion
TorqueScript
tpu
Trac
Trine
TTCN
Turbo Pascal
Turing
TUTOR\
Tutorial D
TXL

Ubercode
Ultra 32
Unicon
Uniface
Unix shell
Unlambda
UnrealScript
Use

V
Vala
VDM++
VDM-SL
Verilog
VHDL
Visual Assembler
Visual Basic - Visual Beginners All-purpose Symbolic Instruction Code
Visual Basic .NET
Visual DataFlex
Visual DialogScript
Visual FoxPro
Visual J++
Visual Objects
VBScript
VX-REXX
Vvvv

Water
WATFOR - see WATFIV
WATFIV
WAXHTML
WebQL
Whitespace
Winbatch
WinDev
Windows PowerShell

X++
X10
Xbase++ 32Bit Windows language
XBL
xbScript - Also xBaseScript
xHarbour
XL
XOTcl
XPL
XPL0
XQuery
XSLT - See XPath

Y
YACC
YAFL
Yellow - Rejected prototype for Ada
Yorick
Y

Z++
Z notation - A program specification language, like UML.
Zonnon
ZOPL
ZPL