clay-good/attestful

# Attestful **通过自动化证据和清晰可视化证明您的合规状态。** ## 什么是 Attestful？ Attestful 是一个**专注、开源的工具**，只做一件事且做得极其出色： - **自动化证据收集**：从 30 多个平台（云、SaaS、基础设施）收集 - **清晰合规可视化**：展示每个框架的完成百分比 - **OSCAL 原生导出**：与其他合规工具实现互操作性 - **本地部署/隔离环境**：适用于政府和国防组织 **Attestful 不是完整的 GRC 平台。** 它不与 Vanta、Drata 或企业 GRC 套件竞争。需要完整 GRC 能力的组织应将 Attestful 与专用 GRC 平台搭配使用，并利用 Attestful 的 OSCAL 导出功能进行证据传输。 ## Attestful 故意不包含的功能 - ❌ 第三方风险管理（TPRM）或供应商问卷 - ❌ 信任中心或公共合规页面托管 - ❌ 人工智能问卷自动化 - ❌ 策略管理或策略模板 - ❌ 风险登记册或风险管理流程 - ❌ 审计流程管理或审计员门户 - ❌ 员工合规跟踪或入职流程 - ❌ 安全意识培训 - ❌ 用户访问审查或访问认证活动 这些功能有意不在范围内，以保持 Attestful 的简洁和专注。 ## 核心原则 | 原则 | 描述 | |------|------| | **证据优先** | 主要功能是从尽可能多的来源收集证据 | | **清晰可视化** | 领导层一眼就能看到“我们已满足 90% 的 SOC 2 要求” | | **OSCAL 优先** | 所有证据和评估均采用 OSCAL 格式以实现互操作性 | | **本地部署/隔离环境** | 完全离线工作——对政府/国防至关重要 | | **简单专注** | 极其出色地完成证据收集和可视化 | | **开源** | 核心功能永久免费 | ## 目标用户 - **政府/国防承包商**：需要本地部署的合规工具 - **初创公司**：希望在不承担 SaaS 成本的情况下获得简单的合规可见性 - **隔离环境**（机密网络、OT/ICS） - **已有 GRC 平台的团队**：需要更优的证据收集能力 ## 支持的框架 | 框架 | 状态 | 描述 | |------|------|------| | **NIST CSF 2.0** | ✅ | 106 个子类别，基于证据的成熟度评分 | | **NIST 800-53 / FedRAMP** | ✅ | 完整的 Rev 5 目录，原生 OSCAL 支持 FedRAMP 授权 | | **SOC 2 Type II** | ✅ | 所有 5 个信任服务准则，90%+ 自动化 | | **ISO 27001** | ✅ | ISO 27001:2022 附录 A 控制项 | | **HITRUST** | ✅ | HITRUST CSF，支持 5 级成熟度评分 | ## 支持的平台（30+） ### 云基础设施 - **AWS** - EC2、S3、IAM、VPC、CloudTrail、Secrets Manager 等 - **Azure** - 虚拟机、存储、AD、Key Vault、网络安全组等 - **GCP** - 计算、存储、IAM 等 - **Kubernetes** - Pod、服务、网络策略、RBAC - **Docker** - 容器、镜像、网络、Swarm ### 身份与访问 - **Okta** - 用户、MFA、策略、审计日志 - **Google Workspace** - 用户、Drive、审计日志 - **Microsoft 365** - 用户、组、合规设置 - **1Password** - 保险库、用户、访问策略 ### 密钥管理 - **AWS Secrets Manager** - 密钥、轮换、访问日志 - **Azure Key Vault** - 密钥、秘密、证书 - **HashiCorp Vault** - 密钥引擎、策略、审计 ### DevOps 与源代码控制 - **GitHub** - 仓库、工作流、安全警报 - **GitLab** - 项目、流水线、安全扫描 - **Terraform Cloud** - 工作空间、运行、策略检查 ### 协作与生产力 - **Slack** - 用户、频道、应用、DLP 设置 - **Notion** - 页面、权限 - **Confluence** - 空间、页面、权限 - **Zoom** - 用户、会议、安全设置 ### 项目管理 - **Jira** - 问题、工作流、审计日志 - **Linear** - 问题、团队、集成 - **Asana** - 项目、任务、权限 - **Monday** - 看板、用户、权限 - **Shortcut** - 故事、迭代 ### 其他平台 - **Jamf** - 设备、MDM、合规 - **Datadog** - 监控器、安全信号 - **PagerDuty** - 事件、服务、升级 - **Snowflake** - 用户、角色、访问历史 - **Zendesk** - 工单、用户、安全 - **Slab** - 帖子、主题 - **SpotDraft** - 合同、审批 ## 快速开始 ### 安装 ``` # 使用 pip 安装 pip install attestful # 或使用 Poetry（推荐） poetry add attestful # 或安装所有可选依赖 pip install attestful[all] ``` ### 首次证据收集 ``` # 初始化 Attestful attestful configure init # 配置平台凭证 attestful configure credentials --platform okta attestful configure credentials --platform aws # 从所有已配置平台收集证据 attestful collect --all # 查看合规性仪表板 attestful dashboard ``` ### 查看合规状态 ``` # 按框架分析合规性 attestful analyze maturity --framework nist-csf attestful analyze maturity --framework soc2 # 生成合规报告 attestful report generate --format html --output compliance-report.html # 导出为 OSCAL attestful oscal assessment export --format json ``` ## 仪表板 Attestful 包含一个简洁的单色仪表板，专为清晰设计： - **大号合规百分比** - 一眼即可看到“90% SOC 2” - **框架选择器** - 在 NIST CSF、 SOC 2、ISO 27001 等之间切换 - **分类细分** - 深入查看特定控制区域 - **证据状态** - 查看哪些平台已连接并正在收集 - **浅色/深色模式** - 根据偏好切换 该仪表板专为需要了解合规状态但无需技术细节的管理层设计。 ## 隔离环境支持 Attestful 专为断开连接的环境设计： ``` # 导出用于传输的证据包 attestful collect export --output evidence-bundle.attestful # 导入隔离系统 attestful collect import --input evidence-bundle.attestful # 生成用于离线查看的静态 HTML 仪表板 attestful dashboard export --output dashboard.html # 离线分析 attestful analyze maturity ``` ## OSCAL 集成 Attestful 使用 [OSCAL](https://pages.nist.gov/OSCAL/)（开放安全控制评估语言）作为其原生格式： ``` # 以 OSCAL 格式导出评估结果 attestful oscal assessment export --format json # 生成系统安全计划 attestful oscal ssp generate --profile fedramp-moderate # 为未通过的控制项生成 POA&M attestful oscal poam generate ``` OSCAL 导出可与任何 OSCAL 兼容工具一起使用，包括 FedRAMP 授权系统。 ## 开发 ``` # 克隆仓库 git clone https://github.com/clay-good/attestful.git cd attestful # 安装依赖 make install-dev # 运行测试 make test # 运行代码检查 make lint # 格式化代码 make format ``` ## 文档 有关详细文档，请参阅 [docs/](docs/) 目录： - [快速入门](docs/GETTING_STARTED.md) - 安装和第一步 - [CLI 参考](docs/CLI.md) - 命令行接口 - [收集器](docs/COLLECTORS.md) - 平台集成 - [框架](docs/FRAMEWORKS.md) - 支持的合规框架 - [OSCAL 指南](docs/OSCAL.md) - 使用 OSCAL 文档 - [架构](docs/ARCHITECTURE.md) - 系统设计和组件 - [配置](docs/CONFIGURATION.md) - 配置选项 - [部署](docs/DEPLOYMENT.md) - Docker 和 Kubernetes 部署 - [隔离环境部署](docs/AIR_GAP.md) - 离线部署指南

标签：ESC漏洞, Mutation, OSCAL, SaaS合规, SEO: OSCAL 导出, SEO: 自动化合规证据, SEO: 自托管合规工具, 云合规, 可视化, 合规自动化, 国防, 基础设施合规, 子域名突变, 安全合规平台, 对称加密, 开源, 政府, 数据导出, 文档结构分析, 框架合规, 清晰可视化, 网络安全研究, 自动化审计, 自托管, 覆盖率看板, 证据收集, 证据驱动, 请求拦截, 逆向工具, 隔离部署