同问。

先看你需要测什么方面的安全。

通用简单的 web 安全问题（如有安全风险的 web 配置，和一些简单的漏洞），有好多现成工具能拿来扫描，但效果可能不怎么样。比如：https://github.com/greenbone/openvas-scannerhttps://github.com/sqlmapproject/sqlmap，

业务性质的安全漏洞，都是靠经验去挖掘，依赖对业务场景和安全漏洞的理解，这种市面上没有工具，只能靠技能。