OWASP ZAP

Прокси-сканер для тестирования веб-приложений: перехват трафика, spider, активное/пассивное сканирование, отчёты. Хорош как «safety-net» в CI/CD для типовых проблем (XSS, инъекции, заголовки безопасности), но не заменяет ручной анализ логики.