Gitleaks是一款开源的静态应用程序安全测试（SAST）工具，专门用于检测Git仓库中的敏感信息，如密码、API密钥和令牌。它能够扫描当前和历史代码，提供全面的安全检查。Gitleaks支持多种安装方式，可作为命令行工具、预提交钩子或GitHub Action使用，帮助开发团队在开发过程中及早识别和处理潜在的安全风险。

sif是一个用Go语言编写的开源渗透测试套件，具有目录扫描、DNS子域名枚举、Web扫描和端口扫描等功能。它支持nuclei模板和Metasploit模拟执行，并集成了Google dorking和Shodan。该项目托管在GitHub上，有活跃的Discord社区。

GSAN是一款用于从HTTPS网站SSL证书中提取主体备用名称的工具。它支持自动化提取子域名、多主机扫描、CSV或JSON输出，以及域名过滤功能。该工具还集成了CRT.SH，可扩展子域名发现范围。GSAN适用于网络安全研究和管理领域，为用户提供高效的子域名发现服务。

OneDev是一个综合性Git服务器平台，整合了CI/CD、看板和包管理功能。它具备代码搜索导航、安全合规扫描、代码注释、讨论、保护规则、自动化看板、自定义工作流、服务台和时间跟踪等功能。该平台提供易配置的CI/CD系统，支持多种执行器和调试工具。OneDev还包含包注册表、深度集成、项目树组织、智能查询和仪表板等特性，并支持高可用性和可扩展性。凭借其高效、轻量和稳定的特点，OneDev特别适合中小型项目的开发需求。

ModelScan是Protect AI开发的开源AI模型安全扫描工具,支持H5、Pickle和SavedModel等多种格式。它可快速识别PyTorch、TensorFlow、Keras等框架中的模型安全风险,有效防范模型序列化攻击。ModelScan易于集成到机器学习流程中,为AI模型全生命周期提供安全保障,保护数据和系统安全。

Gitleaks-Action 是一个 GitHub Action 工具，专门用于检测和防止代码仓库中的敏感信息泄露。它能自动识别硬编码的密码、API 密钥和令牌，并提供实时警报。此工具支持自定义配置、PR 评论和通知功能，适用于个人和组织账户，有助于增强代码安全性。

ssh-audit是一款开源的SSH配置审计工具,可全面分析服务器和客户端的SSH协议、算法和密钥等信息。它能识别潜在安全风险,提供针对性加固建议,支持标准审计和策略审计,还可进行DoS攻击测试。该工具跨平台兼容,无外部依赖,是IT管理员和安全人员进行SSH安全评估与加固的实用工具。

BucketLoot是一款S3兼容存储桶检测工具，支持AWS、GCP和DigitalOcean等多个云平台。该工具可自动提取资产、检测密钥泄露，并允许自定义关键词和正则表达式搜索。BucketLoot提供访客模式，无需初始API凭证即可执行扫描。内置80多种正则表达式签名，可有效识别敏感文件和潜在安全隐患。此外，其挖掘模式支持非S3目标扫描，有助于资产发现和安全评估。

Trivy是一款开源的多功能安全扫描工具，支持容器镜像、文件系统、Git仓库、虚拟机镜像、Kubernetes和AWS等多种目标。它能够检测操作系统包和软件依赖、已知漏洞、基础设施即代码问题、错误配置、敏感信息和软件许可证。Trivy适用于大多数主流编程语言、操作系统和平台，提供全面的安全分析功能。

Vigil-llm是一款评估大型语言模型提示和响应安全性的开源工具。它集成了向量数据库、启发式规则、变压器模型等多种扫描模块，能够有效检测提示注入、越狱等潜在威胁。该工具支持本地和OpenAI嵌入，内置常见攻击签名库，可作为Python库或REST API使用，为LLM应用构建全方位的安全防护体系。