zial, github nevyhovuje bodu 2.
mohli by ste prosim konkretne menovat "jiné nástroje"?
no, ale to není přece problém, aplikaci nahraješ do privátního repositáře a využiješ poměrně solidní databázi na známá CVE podle závislostí, stejnou službu nabízí i gitlab, azure/aws/google.
Těch aplikací je dost a zároveň málo, jaký k tomu máš účel? Proč to potřebuješ?
Korporátní svět ujíždí na automatických nástrojích na kontrolu zabezpečení aplikací a ve výsledku to je spíše vynucování code style a vlastní nastavení pravidel, ten nástroj sám od sebe neodhalí většinou nic moc, ale dokáže ti udržet kvalitu kódu a sjednotit chování aplikací. Rozhodně nečekej, že použiješ nějaký nástroj a oni to rovnou řekne, kde máš díry a co opravit, naoak na tebe vyhodí obrovské množství chyb.
Primárně bys měl hledat nástroje kolem frameworku, který používáš, protože ty ti nejlépe řeknou, co je špatně.
Pro začátek bych ti doporučil zdarma dostupný v javě napsaný (funguje na linuxu i windowsu) nástroj udržovaný pod OWASP community
https://github.com/zaproxy/zaproxy. Jeden z mnoha tutoriálů je třeba tady
https://medium.com/volosoft/running-penetration-tests-for-your-website-as-a-simple-developer-with-owasp-zap-493d6a7e182b, proskenuje ti to lokální aplikaci a zjistí, jetli nemá základní nedostatky.
na kali linuxu vlastně není nic víc než je běžně repositářích jednotlivých distribucí, jen to tam je již předinstalované, většina těch nástrojů jsou ale poměrně složité a těžké na ovládání, takže je lepší se jim v počátku vyhnout než člověk ví přesně co chce.