oasm-platform/open-asm

GitHub: oasm-platform/open-asm

开源的企业级攻击面管理平台，帮助安全团队识别、监控和管理外部资产及潜在安全风险。

Stars: 77 | Forks: 12

# 开放攻击面管理 (OASM) [![最新版本](https://img.shields.io/github/v/release/oasm-platform/open-asm.svg)](https://github.com/oasm-platform/open-asm/releases) [![CI](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/1ddd98daf7202912.svg)](https://github.com/oasm-platform/open-asm/actions/workflows/build-nightly.yml) [![Docker 构建](https://img.shields.io/badge/docker-build-blue.svg)](https://github.com/oasm-platform/open-asm/actions/workflows/build-release.yml) [![Docker Hub](https://img.shields.io/badge/docker-oasm-blue.svg)](https://hub.docker.com/u/oasm) [![Docker 拉取次数](https://img.shields.io/docker/pulls/oasm/oasm-api)](https://hub.docker.com/r/oasm/oasm-api) [![安全扫描](https://img.shields.io/badge/security-trivy-green.svg)](https://github.com/oasm-platform/open-asm/actions/workflows/build-unstable.yml) 用于网络安全攻击面管理 (ASM) 的开源平台。旨在帮助安全团队识别、监控和管理其数字基础设施中的外部资产及潜在的安全风险。

功能特性 • 系统架构 • 安装说明 • 开发者指南 • 界面截图

## 功能特性 - **资产发现与管理**：全面发现并编录面向互联网的资产，包括域名、子域名、IP 地址和 Web 服务。支持资产分组、实时清单更新和多工作区组织，以实现高效的资产生命周期管理。 - **漏洞评估**：持续扫描整个攻击面的漏洞、错误配置和安全风险。提供高级问题跟踪，包含详细的风险分析、优先级排序和修复指导。 - **技术栈检测**：自动识别并编录在已发现资产上运行的技术、框架和服务。深入洞察技术栈及其潜在的安全影响。 - **分布式扫描引擎**：具备自动扩展能力的高性能分布式 Worker，用于并行处理扫描任务。包含用于管理复杂扫描工作流的作业编排和注册系统。 - **工具集成**：可扩展的框架，用于集成各种安全扫描工具和服务。支持自定义工具配置和自动化执行流水线。 - **AI 助手集成**：集成模型上下文协议 (MCP) 服务器，使 AI 助手能够通过自然语言接口查询资产数据、生成洞察并辅助安全分析。 - **工作流自动化**：可配置的工作流，用于自动化扫描计划、告警响应和修复流程。基于模板的方法用于标准化安全操作。 - **实时监控与通知**：持续监控资产变更，并针对新发现、漏洞和配置更改发送即时通知。提供包含趋势分析和报告的统计仪表板。 - **高级搜索与分析**：跨所有资产数据的强大搜索功能，支持过滤和分面。提供全面的攻击面指标、风险趋势和合规性报告分析。 ## 系统架构该系统运行在分布式架构上，由以下部分组成： - 用于用户交互和监控的 Web 控制台。 - 处理业务逻辑、数据持久化和作业编排的核心 API 服务。 - 具有自动扩展能力的分布式 Worker，用于执行高性能扫描任务。 - 用于数据存储的 PostgreSQL 数据库和用于认证的 Better Auth。 ``` graph TD %% Actors & External User[User / Security Team] AI[AI Assistant / LLM] Internet[Internet / Attack Surface] %% Core Components subgraph "OASM Platform" Console[Web Console] API[Core API Service] DB[(PostgreSQL)] MCP[MCP Server] subgraph "Execution Plane" Worker[Distributed Workers] end end %% Relationships User -->|Manage & Monitor| Console Console <-->|REST API| API API <-->|Persist Data| DB %% Job Flow API -->|Dispatch Scan Jobs| Worker Worker -->|Report Results| API Worker -->|Scan & Discovery| Internet %% AI Flow AI <-->|Query Context| MCP MCP <-->|Fetch Asset Data| API ``` ## 界面截图 ![Dashboard](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/fba9bb74d6202921.png) ![Assets1](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/1ebb9eec86202923.png) ![Assets2](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/ea75ef14ae202926.png) ![Technologies](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/e4dd0451ad202928.png) ![Vulnerabilities1](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/a763f11318202929.png) ![Vulnerabilities2](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/8656994543202931.png) ![Tools](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/0c21fd03c8202933.png) ![Workers](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/18e3a157c7202934.png) ![McpConnect](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/33b0545fe1202936.png) ![JobRegistry](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/f62f7dd04a202937.png) ## 安装说明使用 Docker 快速开始使用 OASM： 1. 克隆仓库： git clone https://github.com/oasm-platform/oasm-docker.git cd oasm-docker 2. 重命名示例环境文件： cp .env.example .env 3. 启动服务： docker compose up -d 这将启动整个系统，包括控制台、核心 API、Worker 和数据库。在配置的 URL (http://localhost:6276) 访问应用程序。 [Docker 仓库](https://github.com/oasm-platform/oasm-docker) ## 开发者指南有关设置开发环境、运行服务和贡献的详细说明，请参阅我们专门的[开发者指南](DEVELOPER_GUIDE.md)。

标签：ASM平台, Docker, EASM, GitHub, HTTP/HTTPS抓包, OASM, 合规管理, 外部攻击面, 子域名挖掘, 安全运营, 安全防御评估, 实时处理, 密码管理, 态势感知, 扫描框架, 持续监控, 插件系统, 数字资产, 测试用例, 结构化查询, 网络安全, 自动化安全, 自动化攻击, 请求拦截, 资产测绘, 隐私保护