Arnoldlarry15/ARES-Dashboard

GitHub: Arnoldlarry15/ARES-Dashboard

ARES 是一个企业级 AI 红队作战控制台,为安全团队提供结构化、可审计且对齐行业框架的 AI 系统对抗性安全评估与合规管理平台。

Stars: 16 | Forks: 7

# ARES 仪表板 ## AI 红队作战控制台 ARES 是一个 AI 红队作战控制台,用于在既定的风险框架下规划、执行和审计针对 AI 系统的结构化对抗测试。 ARES Dashboard 是一个面向企业的 AI 红队作战控制台,旨在帮助安全团队、AI 安全研究员和治理项目对 AI 系统进行结构化、可重复且可审计的对抗测试。 ARES 提供了一个集中式工作区,用于构建攻击清单、管理红队活动、将评估与 OWASP LLM Top 10 和 MITRE 等公认框架保持一致,以及导出证据以供审查和合规工作流使用。 该系统支持基于角色的访问控制 (RBAC)、审计日志、持久化活动存储以及可选的 AI 辅助场景生成。内置的演示模式允许在不需要外部 API 密钥的情况下全面探索核心功能。 ARES 旨在作为更广泛的 AI 安全和治理生态系统内的运营执行层,在没有自动化漏洞利用或消除人工监督的情况下实现有纪律的红队测试。 ## ARES 是什么 / 不是什么 ### ARES 是: - 一个 AI 红队作战和活动管理工具 - 一个用于结构化 AI 风险评估的治理就绪系统 - 一个用于对抗测试的协作和文档层 ### ARES 不是: - 一个自动化的黑客或漏洞利用框架 - 一个消费级产品 - 人类判断或安全审查的替代品 有关完整的定位详细信息,请参阅 [PRODUCT_POSITIONING.md](docs/PRODUCT_POSITIONING.md)。 ## 🎯 为什么选择 ARES ### 问题所在 安全团队需要的不仅仅是临时的 prompt 测试和手动文档记录。现代 AI 部署需要: - **结构化、可重复的工作流**,用于一致的安全评估 - **可审计的流程**,满足 SOC 2、ISO 27001 和 GDPR 合规要求 - **框架对齐**,与 OWASP LLM Top 10、MITRE ATLAS 和 ATT&CK 对齐 - **团队协作**,具备基于角色的访问和权限管理 - **风险文档记录**,满足企业治理要求 手动进行 AI 安全测试的方法不一致、难以审计,并且无法在企业团队中扩展。 ### 解决方案 ARES 提供了一个治理就绪的 AI 红队测试和审计平台,它能够: - ✅ 通过基于活动的工作流**强制执行结构化方法论** - ✅ 通过不可变日志记录生成**全面的审计跟踪**以确保合规 - ✅ **与行业框架 (OWASP, MITRE)** 内置于核心平台实现对齐 - ✅ 通过企业级 RBAC 和工作区管理**实现团队协作** - ✅ **生成满足审计员和合规官要求的风险文档** - ✅ **支持两种模式**:用于评估的静态回退 + 用于增强场景的可选 AI 生成 ### 为什么这很重要 **对于安全团队:** 从临时测试转向结构化、有文档记录的安全运营 **对于合规官:** 获得认证所需的审计跟踪和框架对齐 **对于 AI 产品负责人:** 在生产部署前验证安全控制 **对于审计员:** 访问全面的、带有时间戳的安全测试活动证据 ## 📋 典型用例 ### 1. 风险评估与部署前验证 **场景:** 企业部署由 AI 驱动的新型客服聊天机器人 **ARES 用法:** - 创建与 OWASP LLM Top 10 对齐的结构化活动 - 生成并测试 prompt 注入、越狱和数据泄露场景 - 记录发现结果和缓解策略 - 导出全面的风险评估以供安全审查 **结果:** 在产品发布前通过书面证据验证安全控制 ### 2. 合规报告与审计准备 **场景:** 年度 SOC 2 审计需要 AI 安全测试的证据 **ARES 用法:** - 访问所有红队活动的完整审计日志 - 导出带有时间戳的活动文档 - 生成显示框架覆盖率的合规报告 - 提供结构化安全实践的审计员就绪证据 **结果:** 凭借全面的安全测试文档通过合规审计 ### 3. 团队协作与知识共享 **场景:** 分布式红队进行季度 AI 安全评估 **ARES 用法:** - 为团队成员分配具有相应角色(Admin、Lead、Analyst、Viewer)的活动 - 通过细粒度的权限共享攻击场景 - 通过实时活动源监控团队动态 - 在场景开发和优化上进行协作 **结果:** 协调一致的团队努力,具备明确的问责制和访问控制 ### 4. CI/CD 中的持续安全测试 **场景:** DevSecOps 团队将 AI 安全集成到部署流水线中 **ARES 用法:** - 将攻击清单导出为 JSON 以进行自动化测试 - 对活动配置进行版本控制 - 跨版本维护回归测试场景 - 随着时间的推移跟踪安全态势 **结果:** 集成安全测试并具备历史跟踪功能 ### 5. 框架对齐的安全研究 **场景:** 安全研究员正在研究 LLM 漏洞模式 **ARES 用法:** - 进行与 MITRE ATLAS 对齐的可重复实验 - 记录方法论和结果 - 生成可直接发表的证据 - 与社区共享研究场景 **结果:** 严谨的、框架对齐的安全研究 ## 👥 用户画像 ### 安全工程师 **角色:** 进行部署前验证的应用安全专业人员 **需求:** 结构化测试方法论、框架对齐、与 SDLC 集成 **ARES 价值:** 基于活动的工作流、用于自动化的导出功能、版本控制的场景 ### 合规官 / 审计员 **角色:** 确保 AI 部署满足监管要求 **需求:** 审计跟踪、框架覆盖、合规报告、带有时间戳的证据 **ARES 价值:** 全面的日志记录、OWASP/MITRE 对齐、导出功能、不可变的审计跟踪 ### AI 产品负责人 **角色:** 管理 AI 产品安全和风险态势 **需求:** 风险可见性、部署前验证、有文档记录的安全态势 **ARES 价值:** 风险评估活动、有文档记录的发现结果、为高管准备的报告 ### 红队操作员 **角色:** 进行对抗性 AI 测试的攻击性安全专家 **需求:** 攻击场景生成、团队协作、证据记录 **ARES 价值:** AI 辅助场景生成、工作区管理、全面的文档记录 ### AI 安全研究员 **角色:** 研究 AI 漏洞的学术界或工业界研究员 **需求:** 框架对齐、可重复的方法论、可直接发表的文档 **ARES 价值:** 结构化实验、确定性模式、全面的证据导出 [![Deploy with Vercel](https://vercel.com/button)](https://vercel.com/new/clone?repository-url=https://github.com/Arnoldlarry15/ARES-Dashboard) ## ✨ 功能 ### 核心功能 - 🎯 **多框架支持**:OWASP LLM Top 10、MITRE ATLAS 和 MITRE ATT&CK - 🔧 **交互式构建器**:直观的 3 步工作流,用于创建攻击清单 - 🤖 **AI 驱动**:集成 Google Gemini 以进行动态 payload 生成 - 📦 **导出就绪**:下载可执行的 JSON 清单进行测试 - 💾 **活动管理**:保存、加载和删除带有元数据的攻击场景 - 🔍 **搜索和过滤**:跨所有战术和框架的实时搜索 ### 企业和治理功能 - 🔐 **企业身份验证**:支持 OAuth2/OIDC (Auth0、Azure AD、Clerk、Okta) - 🛡️ **服务端 RBAC**:后端强制执行角色和权限,具备多级访问控制 - 🔑 **带有 Scoped Claims 的 JWT**:带有自动刷新的安全基于 token 的身份验证 - 🏢 **SSO 就绪**:企业身份提供商集成,实现无缝身份验证 - 👥 **团队工作区**:协作进行红队作战,具备成员管理和活动跟踪功能 - 🤝 **活动共享**:细粒度的权限(查看、编辑、删除、重新共享),实现受控协作 - 📊 **审计日志**:用于合规 (SOC 2、ISO 27001、GDPR) 的全面、不可变的活动跟踪 - 🔒 **会话管理**:带有自动刷新和设备跟踪的安全 JWT token - 📝 **活动源**:实时监控所有团队操作,具备完整归属追踪 - 🔐 **多租户支持**:基于组织的数据隔离和访问控制 - 📋 **合规就绪**:内置审计跟踪生成以满足监管要求 - 🎯 **框架对齐**:原生的 OWASP LLM Top 10、MITRE ATLAS 和 ATT&CK 支持 ### UX 增强功能 - 🎨 **现代化 UI**:采用磨砂玻璃效果的 2026 年设计美学 - 🌓 **深色/浅色主题**:在主题之间切换并保留偏好 - ⌨️ **快捷键**:高级用户导航 (Ctrl+O, Ctrl+S, Ctrl+K, 箭头键, ESC, ?) - ✏️ **Payload 编辑器**:带有行号和语法高亮的内联编辑 - 💾 **进度持久化**:在会话之间自动保存状态(24小时过期) - ⚡ **批量选择**:一次选择/清除所有攻击向量和 payload ## 👥 谁应该使用 ARES ### ✅ ARES 专为以下人群设计: - **安全工程团队** - 进行结构化、可审计的部署前 AI 验证的安全工程师 - **合规官和审计员** - 需要 SOC 2、ISO 27001、GDPR 的 AI 安全测试书面证据的专业人员 - **AI 红队操作员** - 进行治理就绪的对抗性 AI 测试的专业攻击性安全专家 - **AI 产品负责人** - 需要对 AI 部署进行风险评估和安全验证的产品经理 - **AI 安全研究员** - 进行框架对齐的漏洞研究的学术界和工业界研究员 - **企业 AI 治理团队** - 建立可重复的 AI 安全流程的风险管理团队 ### ❌ ARES 不适用于: - **未经授权的测试** - 需要书面授权和适当的法律合规性 - **自动化的漏洞利用执行** - 生成有文档记录的场景,不执行漏洞利用 - **恶意活动** - 专用于授权防御性测试的专业安全工具 - **未经培训的用户** - 需要具备安全专业知识并了解 AI 漏洞 - **无治理的临时测试** - 专为结构化、可审计的工作流而设计 **重要提示:** ARES 是一款企业安全工具,需要适当的授权、安全专业知识和治理流程。有关完整的指南,请参阅 [SECURITY_BOUNDARIES.md](docs/SECURITY_BOUNDARIES.md)。 ## 🚀 快速部署 ### 部署到 Vercel(推荐) [![Deploy with Vercel](https://vercel.com/button)](https://vercel.com/new/clone?repository-url=https://github.com/Arnoldlarry15/ARES-Dashboard) **不到 2 分钟的一键部署:** 1. 点击上面的“Deploy”按钮 2. 登录 Vercel(免费账户) 3. 配置您的项目名称 4. (可选)添加环境变量: - `GEMINI_API_KEY` - 用于 AI 驱动的 payload - `OPENAI_API_KEY` - 可选的 ChatGPT/OpenAI 提供商 - `ANTHROPIC_API_KEY` - 可选的 Claude 提供商 - `LOCAL_LLM_BASE_URL` - 可选的本地或 OpenAI 兼容模型 endpoint - `AUTH0_DOMAIN`, `AUTH0_CLIENT_ID`, `AUTH0_CLIENT_SECRET` - 用于企业身份验证(参见[身份验证指南](docs/AUTHENTICATION.md)) - `JWT_SECRET`, `JWT_REFRESH_SECRET` - 用于 JWT token 签名 5. 点击“Deploy” **重要提示**:后端 API 密钥在服务端受到保护,绝不会暴露给前端。 有关详细的部署说明,请参阅 [DEPLOY.md](docs/DEPLOY.md) 或 [QUICK_START.md](docs/QUICK_START.md) ### 本地开发 **前置条件:** - Node.js 20.x 和 npm - (可选)Gemini、OpenAI、Anthropic 或本地 LLM 访问权限,用于 AI 生成的 payload **安装:** 1. 克隆仓库: ``` git clone https://github.com/Arnoldlarry15/ARES-Dashboard.git cd ARES-Dashboard ``` 2. 安装依赖: ``` npm install ``` 3. (可选)为本地开发设置环境变量: - 将 `.env.example` 复制到 `.env.local` - 添加配置: # 数据库(用于持久化存储 - 开发环境可选) DATABASE_URL="postgresql://user:password@host:5432/ares_dashboard" # 使用 Neon (https://neon.tech)、Supabase (https://supabase.com) 或本地 PostgreSQL # AI 驱动的 payloads(可选) GEMINI_API_KEY=your_actual_api_key OPENAI_API_KEY=your_openai_api_key_here ANTHROPIC_API_KEY=your_anthropic_api_key_here LOCAL_LLM_BASE_URL=http://localhost:11434/v1 # 企业级身份验证(可选,用于生产环境) AUTH0_DOMAIN=your-tenant.auth0.com AUTH0_CLIENT_ID=your_client_id AUTH0_CLIENT_SECRET=your_client_secret AUTH0_CALLBACK_URL=http://localhost:3000/api/auth/callback?provider=auth0 # JWT 密钥(auth 必需) JWT_SECRET=your_secure_random_secret JWT_REFRESH_SECRET=your_secure_refresh_secret - 从以下地址获取 Gemini API 密钥:https://aistudio.google.com/apikey - 从以下地址获取 Auth0 凭证:https://auth0.com(参见 [Auth0 设置指南](docs/AUTH0_SETUP_GUIDE.md)) - 有关数据库设置,请参见 [数据库迁移指南](docs/DATABASE_MIGRATION.md) - **注意**:对于使用后端 API 的本地开发,请使用 `vercel dev` 而不是 `npm run dev` 3a. (可选)设置持久化数据库: ``` # 生成 Prisma client npm run db:generate # 将 schema 推送到数据库 npm run db:push # 打开 Prisma Studio 查看数据 npm run db:studio ``` - 详细的设置说明请参见 [数据库迁移指南](docs/DATABASE_MIGRATION.md) - 适用于 Neon、Supabase、AWS RDS 或本地 PostgreSQL 4. 启动开发服务器: ``` # 无 API key(使用静态备用数据) npm run dev # 有 API key(需要 Vercel CLI) npm install -g vercel vercel dev ``` 5. 在浏览器中打开: - `http://localhost:5173` (npm run dev) - `http://localhost:3000` (vercel dev) ## 📖 用法 ### 入门 1. **登录**:选择用户角色(Admin、Red Team Lead、Analyst 或 Viewer) 2. **选择框架**:选择 OWASP LLM Top 10、MITRE ATLAS 或 MITRE ATT&CK 3. **构建攻击清单**: - 从框架中选择一种战术 - 配置攻击向量 - 选择/自定义 payload - 导出为 JSON ### 操作模式 #### 没有 API 密钥(回退模式) 在没有 API 密钥的情况下使用内置静态数据完全可用: - 提供所有框架和战术 - 预配置的攻击向量和 payload - 完整的活动管理和团队功能 - 非常适合用于测试和评估 #### 使用 API 密钥(AI 增强模式) 通过安全的后端 API 使用 Google Gemini 进行增强: - 动态、具有上下文感知能力的 payload 生成 - 更多样化、更复杂的攻击示例 - 定制的缓解策略和参考 - **安全**:API 密钥绝不会暴露给浏览器 ### 核心工作流 **活动管理:** - 按 `Ctrl+S` 保存当前配置 - 按 `Ctrl+O` 加载已保存的活动 - 在页眉中查看活动数量徽章 **团队协作:** - 点击“TEAM”按钮管理工作区 - 邀请具有特定角色的成员 - 通过细粒度的权限共享活动 - 实时监控团队活动 **快捷键:** - 按 `?` 查看所有可用的快捷方式 - `ESC` 关闭弹窗 - `Ctrl+K` 聚焦搜索 - `←` / `→` 导航步骤 **主题切换:** - 点击页眉中的太阳/月亮图标切换主题 - 偏好设置会在会话之间保持 ## 生产环境构建 ``` npm run build npm run preview ``` ## 🛠️ 技术栈 - **前端**:React 19、TypeScript - **后端**:Vercel Serverless Functions - **样式**:Tailwind CSS(内联)、磨砂玻璃效果 - **图标**:Lucide React - **AI**:Google Gemini API(安全的后端集成) - **构建工具**:Vite - **状态管理**:React Hooks、由数据库支持并带有 localStorage 回退 - **数据库**:PostgreSQL 与 Prisma ORM - **持久化**:活动、用户和审计日志存储 - **部署**:Vercel(推荐) ## 💾 数据库和持久化 ARES 现在支持使用 PostgreSQL 与 Prisma ORM 的**持久化数据存储**,为企业部署替换了 localStorage。 ### 功能 - ✅ **持久化数据**:活动和审计日志在会话之间持久存在 - ✅ **多用户支持**:适当的用户隔离和基于组织的访问 - ✅ **审计跟踪**:用于合规 (SOC2、ISO 27001、GDPR) 的全面日志记录 - ✅ **自动回退**:在数据库不可用时优雅回退到 localStorage ### 快速设置 1. **选择数据库提供商:** - [Neon](https://neon.tech)(推荐用于 Vercel - 无服务器 PostgreSQL) - [Supabase](https://supabase.com)(带有额外功能的 PostgreSQL) - [AWS RDS](https://aws.amazon.com/rds/)(企业级) - 本地 PostgreSQL 2. **配置您的数据库 URL:** # 在 .env.local 或 Vercel 环境变量中 DATABASE_URL="postgresql://user:password@host:5432/ares_dashboard" 3. **初始化 schema:** npm run db:generate # Generate Prisma client npm run db:push # Push schema to database npm run db:studio # Open database GUI (optional) 4. **迁移现有数据(如果是升级):** - 在 dashboard 上打开您的浏览器控制台 - 运行:`exportLocalStorageData()` 进行备份 - 运行:`migrateInBrowser()` 迁移到数据库 - 有关详细信息,请参见 [数据库迁移指南](docs/DATABASE_MIGRATION.md) ### 数据库 Schema 系统使用三个核心模型: ``` // User - for authentication and team management model User { id String @id email String @unique role String orgId String } // Campaign - for attack scenarios model Campaign { id String @id name String createdBy String createdAt DateTime @default(now()) } // AuditLog - for compliance and tracking model AuditLog { id String @id actorId String action String target String timestamp DateTime @default(now()) } ``` ### API 集成 前端在可用时会自动使用数据库 API: - `CampaignManager` → `/api/campaigns` - `AuthService` → `/api/users` 和 `/api/audit-logs` - 在 API 不可用时回退到 localStorage 有关详细的设置说明,请参见: - [数据库迁移指南](docs/DATABASE_MIGRATION.md) - [DATABASE.md](database/DATABASE.md) ## 📁 项目结构 ``` ├── App.tsx # Main application component ├── constants.tsx # Framework tactics and metadata ├── types.ts # TypeScript type definitions ├── api/ │ ├── generate-tactic.ts # Serverless API for AI (secure) │ ├── users.ts # User management API │ ├── campaigns.ts # Campaign persistence API │ ├── audit-logs.ts # Audit trail API │ ├── protected-example.ts # Example protected endpoint with RBAC │ ├── auth/ │ │ ├── refresh.ts # Token refresh endpoint │ │ ├── login/ │ │ │ └── auth0.ts # Auth0 login initiation │ │ └── callback/ │ │ └── auth0.ts # Auth0 OAuth callback │ ├── middleware/ │ │ ├── auth.ts # Authentication & RBAC middleware │ │ ├── rateLimit.ts # Rate limiting │ │ ├── validation.ts # Request validation │ │ └── security.ts # Security headers & CORS │ └── tsconfig.json # API TypeScript config ├── prisma/ │ └── schema.prisma # Database schema definition ├── prisma.config.ts # Prisma configuration ├── repositories/ │ ├── userRepository.ts # User data access layer │ ├── campaignRepository.ts # Campaign data access layer │ └── auditLogRepository.ts # Audit log data access layer ├── components/ │ ├── AuthLogin.tsx # Authentication UI │ ├── TeamManagement.tsx # Team workspace management │ └── PayloadEditor.tsx # In-line payload editor ├── services/ │ ├── geminiService.ts # AI integration service (calls backend) │ ├── authService.ts # Authentication & audit logging │ ├── workspaceService.ts # Team collaboration │ └── auth/ │ ├── jwt.ts # JWT token management │ └── OAUTH_INTEGRATION.md # OAuth setup guide ├── utils/ │ ├── db.ts # Prisma client singleton │ ├── apiClient.ts # Type-safe API client │ ├── storage.ts # Progress persistence │ ├── campaigns.ts # Campaign management (DB + localStorage) │ └── themeManager.ts # Theme system ├── database/ │ ├── DATABASE.md # Database setup guide │ └── schema/ │ └── postgresql.sql # SQL schema ├── scripts/ │ ├── validate-db.mjs # Database validation │ └── migrate-localstorage.ts # localStorage migration tool ├── types/ │ ├── auth.ts # Authentication types │ └── workspace.ts # Workspace types ├── index.tsx # Application entry point ├── index.html # HTML template ├── vercel.json # Vercel configuration ├── docs/ # Documentation │ ├── CONTRIBUTING.md # Contribution guidelines │ ├── CODE_OF_CONDUCT.md # Community standards │ ├── ARCHITECTURE.md # Technical architecture overview │ ├── AUTHENTICATION.md # Enterprise authentication guide (NEW) │ ├── DEPLOY.md # Deployment guide │ ├── QUICK_START.md # Quick deployment reference │ └── BACKEND_MIGRATION.md # Backend migration guide └── package.json # Dependencies and scripts ``` ## 🎯 用户角色和权限 ARES 支持四个企业角色,并在服务端强制执行 RBAC: | 功能 | Admin | Red Team Lead | Analyst | Viewer | |---------|-------|---------------|---------|--------| | 查看战术和框架 | ✅ | ✅ | ✅ | ✅ | | 创建活动 | ✅ | ✅ | ✅ | ❌ | | 编辑活动 | ✅ | ✅ | ✅ | ❌ | | 删除活动 | ✅ | ✅ | ❌ | ❌ | | 共享活动 | ✅ | ✅ | ✅ | ❌ | | 管理团队 | ✅ | ✅ | ❌ | ❌ | | 邀请成员 | ✅ | ✅ | ❌ | ❌ | | 查看审计日志 | ✅ | ✅ | ❌ | ❌ | | 导出审计日志 | ✅ | ❌ | ❌ | ❌ | **注意**:基于角色的访问在前端和后端都强制执行,以确保企业安全。 有关 OAuth 集成和高级权限管理,请参见[身份验证指南](docs/AUTHENTICATION.md)。 ## ⚠️ 治理和负责任的使用 **ARES 是一款用于授权、结构化的 AI 安全测试的企业安全工具。** ### 需要授权和治理 此工具专为**仅在治理框架内进行授权的安全测试**而设计。请务必: - ✅ 在测试任何系统之前获得书面授权 - ✅ 在既定的治理和合规框架内运作 - ✅ 在具有适当监督的受控、隔离的测试环境中使用 - ✅ 遵循负责任的披露实践和行业标准 - ✅ 遵守适用的法律、法规和组织政策 - ✅ 维护全面的审计跟踪和文档记录 ### ARES 提供什么 - ✅ 结构化的活动规划和风险评估工作流 - ✅ 框架对齐的攻击向量 (OWASP, MITRE),用于可重复的测试 - ✅ 用于合规和治理的不可变审计跟踪 - ✅ 具有基于角色的访问控制的团队协作 - ✅ 为审计生成文档和证据 ### ARES 不提供什么 - ❌ 自动化攻击执行或自主操作 - ❌ 测试的授权或许法律许可 - ❌ 与目标系统的直接交互 - ❌ 替代人类安全专业知识和判断 - ❌ 保证安全或合规认证 **有关完整的治理指南,请参见:** - [SECURITY_BOUNDARIES.md](docs/SECURITY_BOUNDARIES.md) - 谁应该/不应该使用 ARES 及治理要求 - [RESPONSIBLE_USE.md](docs/RESPONSIBLE_USE.md) - 道德准则、最佳实践和合规考量 - [TRUST_BOUNDARY.md](docs/TRUST_BOUNDARY.md) - 安全假设、威胁模型和信任边界 ## 🧪 测试 **自动化测试套件:** ``` # 运行所有测试 npm test # 单元测试 npm run test:unit # 集成测试 npm run test:integration # 安全测试 npm run test:security # E2E 测试 npm run test:e2e # Coverage 报告 npm run test:coverage ``` **测试覆盖率:** - ✅ 35+ 个通过的测试(单元测试、集成测试、安全测试、端到端测试) - ✅ 身份验证和授权测试 - ✅ 存储和持久化测试 - ✅ API endpoint 验证测试 - ✅ 安全权限强制执行测试 - ✅ 端到端功能测试 **开发构建:** ``` npm run dev ``` **生产构建:** ``` npm run build npm run preview ``` **构建验证:** - ✅ 应用程序成功构建(0 个漏洞) - ✅ 所有框架均可访问 - ✅ 完整的工作流已进行端到端测试 - ✅ 身份验证和 RBAC 运行正常 - ✅ 团队协作功能正常运行 - ✅ 主题切换工作正常 - ✅ 键盘快捷键处于活动状态 - ✅ 35+ 个自动化测试通过 ## 🔄 CI/CD 和自动化 **持续集成:** - 在所有 PR 和推送到 main 分支时进行自动构建 - ESLint 代码质量检查 - TypeScript 类型检查 - 单元、集成和安全测试 - 使用 Playwright 进行端到端测试 - 生产构建验证 - 代码覆盖率报告 **安全自动化:** - 对所有 PR 进行 CodeQL 安全扫描 - Dependabot 每周依赖更新 - 自动化漏洞检测 - API endpoint 上的速率限制 - 输入验证和清理 - CSRF 和 CORS 保护 **质量门禁:** 所有 PR 必须通过: - ✅ Lint 检查 (`npm run lint`) - ✅ 类型检查 (`npm run typecheck`) - ✅ 单元测试 (`npm run test:unit`) - ✅ 集成测试 (`npm run test:integration`) - ✅ 安全测试 (`npm run test:security`) - ✅ 构建验证 (`npm run build`) - ✅ CodeQL 安全扫描 **发布自动化:** - 语义化版本控制 (semver 2.0.0) - 针对版本标签的自动化发布工作流 - 自动生成的发布说明 - 构建产物 (ZIP, TAR.GZ) - SHA-256 校验和 - 预发布检测 ## 📊 性能 - **构建大小**:~330 KB(gzipped: ~96 KB) - **首次加载**:在现代浏览器上 < 1s - **可交互时间**:< 2s - **Lighthouse 得分**:95+ ## 🔒 安全 - **零漏洞**:通过 npm audit,0 个漏洞 - **自动化安全扫描**:CodeQL 分析在所有 PR 和推送到 main 分支时运行 - **依赖管理**:针对 npm 包的 Dependabot 每周更新 - **企业身份验证**:支持带有 Auth0、Azure AD 或 Clerk 的 OAuth2/OIDC - **服务端 RBAC**:后端强制执行角色和权限 - **JWT 安全**:带有自动过期和刷新的签名 token - **安全的 API 密钥**:所有密钥都在后端受到保护,绝不暴露给客户端 - **Serverless 架构**:API 调用通过安全的后端函数路由 - **安全标头**:X-Content-Type-Options、X-Frame-Options、X-XSS-Protection - **身份验证**:企业级 RBAC 系统(在生产环境中与您的身份验证提供商集成) - **审计日志**:用于合规的全面活动跟踪 - **会话管理**:带有设备跟踪的 24 小时 JWT 样式 token - **威胁模型**:全面的威胁分析和缓解策略 - **安全策略**:已记录的漏洞报告和响应程序 **企业安全功能:** - **速率限制**:每个 IP 地址 100 次请求/分钟(可配置) - **输入验证**:类型检查、长度限制、模式匹配 - **清理**:XSS 防护和输出编码 - **CORS 保护**:可配置的跨域策略 - **CSRF 保护**:针对状态更改操作的基于 token 的保护 - **后端授权**:所有 API endpoint 上的权限强制执行 - **多租户就绪**:基于组织的数据隔离 - **审计跟踪**:用于 SOC 2ISO 27001、GDPR 的完整合规日志记录 **📋 企业信任文档:** - [TRUST_BOUNDARY.md](docs/TRUST_BOUNDARY.md) - **NEW**:明确的威胁模型 - ARES 防御什么以及不防御什么 - [SECURITY_BOUNDARIES.md](docs/SECURITY_BOUNDARIES.md) - **NEW**:谁应该使用 ARES、防止滥用和安全保障措施 - [AI_BEHAVIOR.md](docs/AI_BEHAVIOR.md) - **NEW**:确定性输出与概率性输出对比、幻觉处理、可重复性 - [VERSION_GUARANTEES.md](docs/VERSION_GUARANTEES.md) - **NEW**:行为稳定性承诺和版本承诺 - [PRODUCT_POSITIONING.md](docs/PRODUCT_POSITIONING.md) - **NEW**:明确的产品定位和身份 - [AUTHENTICATION.md](docs/AUTHENTICATION.md) - 企业身份验证和 OAuth 指南 - [SECURITY.md](docs/SECURITY.md) - 安全策略和漏洞报告 - [THREAT_MODEL.md](docs/THREAT_MODEL.md) - 全面的威胁建模和风险评估 - [RESPONSIBLE_USE.md](docs/RESPONSIBLE_USE.md) - 道德准则和负责任的使用政策 - [DATA_HANDLING.md](docs/DATA_HANDLING.md) - 数据生命周期、隐私和合规 - [INCIDENT_RESPONSE.md](docs/INCIDENT_RESPONSE.md) - 安全事件程序 - [SOC2_COMPLIANCE.md](docs/SOC2_COMPLIANCE.md) - SOC 2 合规框架 ### API 安全架构 ``` ┌─────────────────┐ │ User Browser │ └────────┬────────┘ │ 1. Login with Auth0 ↓ ┌─────────────────────────┐ │ Auth0 (Identity) │ │ Authenticate user │ └────────┬────────────────┘ │ 2. Return auth code ↓ ┌──────────────────────────────┐ │ Backend API (Vercel) │ │ - Exchange code for tokens │ │ - Generate JWT with roles │ │ - Validate all requests │ └────────┬─────────────────────┘ │ 3. Return JWT ↓ ┌─────────────────┐ │ Protected APIs │ │ - Verify JWT │ │ - Check RBAC │ │ - Execute │ └─────────────────┘ ``` 所有密钥(API 密钥、JWT 密钥、OAuth 凭证)都存储在 Vercel 环境变量中,并且只能由后端访问,确保它们永远不会暴露给浏览器。 **核心功能:** - 🔐 OAuth2/OIDC 身份验证流程 - 🛡️ 服务端角色和权限强制执行 - 🔑 带有自动刷新的 JWT token - 🏢 多租户组织隔离 - 📊 用于合规的完整审计跟踪 ## 📄 许可证 有关详细信息,请参见 [LICENSE](LICENSE) 文件。 ## 🤝 贡献 欢迎贡献!在提交 Pull Request 之前,请阅读我们的[贡献指南](docs/CONTRIBUTING.md)和[行为准则](docs/CODE_OF_CONDUCT.md)。 **快速链接:** - [CONTRIBUTING.md](docs/CONTRIBUTING.md) - 安装、开发设置、PR 指南、CI 期望 - [CODE_OF_CONDUCT.md](docs/CODE_OF_CONDUCT.md) - 社区标准和执行 - [ARCHITECTURE.md](docs/ARCHITECTURE.md) - 技术架构和设计决策 ## 🙏 致谢 - OWASP Foundation 的 LLM 安全准则 - MITRE Corporation 的 ATLAS 和 ATT&CK 框架 - Google 的 Gemini AI 功能 - Vercel 的部署平台 ## 📞 支持和文档 ### 生产与运营 - **可观测性**:请参见 [OBSERVABILITY.md](docs/OBSERVABILITY.md) - **NEW** 监控、指标、日志和 SLO - **密钥管理**:请参见 [SECRETS_MANAGEMENT.md](docs/SECRETS_MANAGEMENT.md) - **NEW** 生命周期和轮换 - **数据库迁移**:请参见 [DATABASE_MIGRATIONS.md](docs/DATABASE_MIGRATIONS.md) - **NEW** 零停机策略 - **运维手册**:请参见 [OPERATIONAL_RUNBOOKS.md](docs/OPERATIONAL_RUNBOOKS.md) - **NEW** 生产程序 - **Kubernetes 部署**:请参见 [helm/ares-dashboard/README.md](helm/ares-dashboard/README.md) - **NEW** Helm chart 指南 ### 安全运营 - **渗透测试**:请参见 [PENETRATION_TESTING.md](docs/PENETRATION_TESTING.md) - **NEW** 安全评估指南 - **红/蓝队演练**:请参见 [RED_BLUE_TEAM_EXERCISES.md](docs/RED_BLUE_TEAM_EXERCISES.md) - **NEW** 安全演习 - **安全策略**:请参见 [SECURITY.md](docs/SECURITY.md) - **威胁模型**:请参见 [THREAT_MODEL.md](docs/THREAT_MODEL.md) - **事件响应**:请参见 [INCIDENT_RESPONSE.md](docs/INCIDENT_RESPONSE.md) ### 开发与部署 - **问题**:在 GitHub 上提 Issue - **身份验证设置**:请参见 [AUTHENTICATION.md](docs/AUTHENTICATION.md) - 企业身份验证指南 - **部署帮助**:请参见 [DEPLOY.md](docs/DEPLOY.md) 或 [QUICK_START.md](docs/QUICK_START.md) - **Docker 部署**:请参见 [DOCKER.md](docs/DOCKER.md) - **贡献**:请参见 [CONTRIBUTING.md](docs/CONTRIBUTING.md) - **架构**:请参见 [ARCHITECTURE.md](docs/ARCHITECTURE.md) - **开发者指南**:请参见 [DEVELOPER_GUIDE.md](docs/DEVELOPER_GUIDE.md) - **测试指南**:请参见 [TESTING.md](docs/TESTING.md) ### 合规和治理 - **行为准则**:请参见 [CODE_OF_CONDUCT.md](docs/CODE_OF_CONDUCT.md) - **更新日志**:请参见 [CHANGELOG.md](docs/CHANGELOG.md) - **数据处理**:请参见 [DATA_HANDLING.md](docs/DATA_HANDLING.md) - **负责任的使用**:请参见 [RESPONSIBLE_USE.md](docs/RESPONSIBLE_USE.md) - **SOC 2 合规**:请参见 [SOC2_COMPLIANCE.md](docs/SOC2_COMPLIANCE.md) - **发布管理**:请参见 [RELEASE_MANAGEMENT.md](docs/RELEASE_MANAGEMENT.md) - **路线图**:请参见 [ROADMAP.md](docs/ROADMAP.md) ### API 和集成 - **数据库设置**:请参见 [database/DATABASE.md](database/DATABASE.md) - **OAuth 集成**:请参见 [services/auth/OAUTH_INTEGRATION.md](services/auth/OAUTH_INTEGRATION.md) - **API 文档**:请参见 [api/openapi.yaml](api/openapi.yaml) ## 📋 合规和治理 ARES 支持企业合规要求: - **SOC 2 Type II**:全面的审计日志记录和访问控制 - **ISO 27001**:信息安全管理对齐 - **GDPR**:数据隐私和用户权利(具有适当的配置) - **OWASP**:与 OWASP Top 10 和 OWASP LLM Top 10 对齐 - **MITRE**:完整的 ATLAS 和 ATT&CK 框架覆盖 **企业功能:** - ✅ **生产环境强化**:SAML 2.0 身份验证、Prometheus 指标、健康检查 - ✅ **可观测性**:指标、日志、追踪和 SLO 定义 - ✅ **密钥管理**:生命周期管理和自动轮换 - ✅ **数据库迁移**:零停机策略和备份程序 - ✅ **Kubernetes 就绪**:生产就绪的 Helm chart,具备高可用性配置 - ✅ **Docker 镜像**:GitHub Container Registry 中的多架构构建(amd64、arm64) - ✅ **安全运营**:渗透测试和红/蓝队演练指南 - ✅ **运维手册**:完整的生产程序和故障排除 - ✅ **自动化测试**:35+ 个单元、集成、安全和端到端测试 - ✅ **API 强化**:速率限制、验证、清理、CORS、CSRF - ✅ **数据库就绪**:带有支持多租户的 PostgreSQL schema - ✅ **OAuth 和 SAML**:Auth0、Azure AD、Okta 为生产环境准备就绪 - ✅ **审计跟踪**:完整的合规日志记录 - ✅ **事件响应**:已记录的安全程序 - ✅ **发布管理**:带有 CI/CD 的语义化版本控制 - ✅ **开发者文档**:全面的入职指南和手册 **文档:** - [OBSERVABILITY.md](docs/OBSERVABILITY.md) - **NEW**:监控、指标、日志和 SLO - [SECRETS_MANAGEMENT.md](docs/SECRETS_MANAGEMENT.md) - **NEW**:密钥生命周期和轮换 - [DATABASE_MIGRATIONS.md](docs/DATABASE_MIGRATIONS.md) - **NEW**:零停机迁移策略 - [OPERATIONAL_RUNBOOKS.md](docs/OPERATIONAL_RUNBOOKS.md) - **NEW**:生产运营程序 - [PENETRATION_TESTING.md](docs/PENETRATION_TESTING.md) - **NEW**:安全评估指南 - [RED_BLUE_TEAM_EXERCISES.md](docs/RED_BLUE_TEAM_EXERCISES.md) - **NEW**:安全运营演习 - [DATA_HANDLING.md](docs/DATA_HANDLING.md) - 数据生命周期和隐私政策 - [RESPONSIBLE_USE.md](docs/RESPONSIBLE_USE.md) - 道德使用准则 - [THREAT_MODEL.md](docs/THREAT_MODEL.md) - 安全威胁分析 - [ROADMAP.md](docs/ROADMAP.md) - 产品路线图和未来计划 - [SOC2_COMPLIANCE.md](docs/SOC2_COMPLIANCE.md) - SOC 2 合规框架 - [INCIDENT_RESPONSE.md](docs/INCIDENT_RESPONSE.md) - 事件处理程序 **怀着 ❤️ 为 AI 安全社区打造** *ARES Dashboard v1.0.0 - 生产环境强化与企业版发布* **生产就绪功能:** - 🔐 用于企业 SSO 的 SAML 2.0 身份验证 - 📊 Prometheus 指标和健康检查 endpoint - 🔍 通过 OpenTelemetry 支持的全面可观测性 - 🔑 具备自动轮换程序的密钥管理 - 🗄️ 零停机数据库迁移和备份策略 - ☸️ 用于 Kubernetes 部署的生产就绪 Helm chart - 🐳 GitHub Container Registry 中的多架构 Docker 镜像 - 🛡️ 安全运营指南(渗透测试、红/蓝队演练) - 📚 用于生产运营的完整运维手册 - 📋 全面的安全和合规文档 - 🔒 威胁建模和安全控制 - 📊 用于 SOC 2 / ISO 27001 合规的审计日志记录 - 🛡️ 用于生产部署的 OAuth 和 SAML 集成 - 📦 Docker 和自托管部署支持 - 🔍 广泛的测试框架和指南
标签:AI安全, Chat Copilot, DLL 劫持, MITM代理, 大语言模型, 安全合规, 测试用例, 红队评估, 网络代理, 自动化攻击, 运营仪表盘