prompt-general/PathGuard

# 🛡️ PathGuard CSPM ### ✨ **核心优势** - **🌐 真正的多云支持**：原生支持 AWS、Azure、GCP、OCI 和 GitHub，而不仅仅是 AWS 的封装 - **🔍 实时配置漂移检测**：通过详细的差异分析即时检测配置变更 - **📊 统一合规性**：支持符合行业标准框架（CIS、SOC 2、PCI-DSS、NIST）的跨云合规性 - **🎯 零信任架构**：只读云访问及加密凭证存储 - **🔧 可扩展设计**：基于插件的规则引擎，TypeScript 优先开发 - **📱 现代 UI**：美观、响应式的 React 仪表板，支持实时更新 ## 🚀 功能特性 ### 🌐 **多云支持** - **AWS**：S3、IAM、EC2、RDS、CloudTrail、Config、CloudWatch - **Azure**：Storage Accounts、Virtual Machines、Key Vault、Monitor、Security Center - **GCP**：Cloud Storage、Compute Engine、IAM、Cloud Logging、Resource Manager - **OCI**：Block Storage、Compute、Identity、Audit、Logging - **GitHub**：Repositories、Organizations、Actions、Security Advisories ### 🧠 **AI 驱动的安全智能** - **ML 风险优先级排序**：利用加权风险因子预测违规概率 - **攻击路径模拟**：使用 Neo4j 进行基于图的横向移动分析 - **威胁情报集成**：实时的 CISA KEV、VulnDB 和 NVD 订阅源 - **MITRE ATT&CK 映射**：全面的威胁框架关联 - **上下文感知警报**：针对特定行业（医疗、金融）的威胁检测 ### 🔍 **高级配置漂移检测** - **基线管理**：设置已知良好的配置 - **实时监控**：连续的配置跟踪 - **变更分析**：详细的 JSON 差异及分类 - **警报集成**：关键变更的自动通知 - **历史跟踪**：所有修改的完整审计追踪 ### 🤖 **自动修复** - **安全的自动修复**：生成 Terraform/CloudFormation 代码 - **审批工作流**：多阶段变更审批流程 - **回滚能力**：带验证的自动回滚 - **IaC 集成**：无缝集成 DevOps 流水线 ### 🧪 **本地开发提供商** | 提供商 | 本地开发 | 生产环境 | |----------|-----------|------------| | AWS | LocalStack | AWS credentials | | Azure | 默认禁用 | Azure subscription | | GCP | 默认禁用 | GCP project | ### 🌍 **多云资源映射** - **跨云连接**：发现跨提供商的资源关系 - **依赖分析**：资源依赖关系图可视化 - **拓扑导出**：支持多种格式（JSON、GraphML、D3.js） - **攻击面映射**：统一的安全态势分析 ### 💰 **成本与安全优化** - **安全浪费分析**：识别安全工具的超额支出 - **ROI 计算**：量化安全投资回报 - **资源优化**：调整安全配置至最佳规模 - **实施路线图**：按优先级排序的成本节约建议 ### 👨‍💻 **开发者优先的安全** - **GitHub Actions**：自动化的安全扫描工作流 - **VS Code 扩展**：在 IDE 中提供实时安全反馈 - **Slack Bot 集成**：安全通知与审批 - **Pre-Commit Hooks**：代码提交前的安全验证 - **安全策略**：自定义的策略即代码框架 ### 📦 **容器与 Serverless 安全** - **容器镜像扫描**：使用 CVE 数据库进行漏洞检测 - **Kubernetes 安全**：Pod 安全策略与网络规则 - **Serverless 分析**：Lambda/Functions 安全评估 - **运行时保护**：容器和函数运行时监控 - **机密信息检测**：识别镜像和代码中的硬编码机密 ### 📋 **合规即代码** - **多框架支持**：CIS、SOC 2、PCI-DSS、NIST、ISO27001 - **Terraform 模块**：自动化合规部署 - **证据收集**：为审计自动收集证据 - **审计报告**：支持导出为多种格式（JSON、YAML、CloudFormation） - **持续监控**：实时合规性评分 ### ⚡ **规则引擎** - **插件架构**：基于 TypeScript 接口的可扩展规则系统 - **多云提供商规则**：针对特定提供商的安全检查 - **严重性分类**：Critical、High、Medium、Low 优先级排序 - **证据收集**：为审计追踪自动收集证据 - **自定义规则**：轻松添加组织特定的安全策略 ## 🏗️ 架构 ``` graph TB subgraph "User Interface" UI[React] --> API CLI[oclif] --> API end subgraph "Application Layer" API[NestJS] --> CoreEngine API --> ComplianceEngine API --> DriftEngine API --> MLEngine API --> ThreatIntel end subgraph "Core Engine" CoreEngine --> RuleEngine CoreEngine --> BaselineManager CoreEngine --> EnhancedDriftEngine CoreEngine --> AttackPathSim CoreEngine --> AutoRemediation CoreEngine --> CostOptimizer CoreEngine --> DevSecurity CoreEngine --> ComplianceAsCode CoreEngine --> ContainerEngine end subgraph "Provider Layer" RuleEngine --> AWS[AWS SDK] RuleEngine --> Azure[Azure SDK] RuleEngine --> GCP[GCP SDK] RuleEngine --> OCI[OCI SDK] RuleEngine --> GitHub[GitHub API] end subgraph "Data & Intelligence Layer" CoreEngine --> PostgreSQL[(PostgreSQL)] CoreEngine --> ObjectStorage[(MinIO/S3)] MLEngine --> Neo4j[(Neo4j)] ThreatIntel --> ThreatFeeds[(Threat Intel APIs)] end ``` ## 🚀 快速入门 ### 📋 **前置条件** - Node.js 20+ 和 pnpm - Docker 和 Docker Compose - 本地 AWS 演示路径无需云凭证 ### 本地演示 ``` git clone https://github.com/prompt-general/PathGuard.git cd PathGuard ./setup.sh pnpm run dev:api pnpm run dev:ui ``` API 启动时，会通过 `apps/api/.env` 将 AWS 指向运行在 `http://localhost:4566` 的 LocalStack。在提供真实凭证之前，Azure 和 GCP 将保持禁用状态。 要运行预置的演示数据： ``` cd apps/cli npm run build ./bin/run scan:run --provider aws ``` LocalStack 种子数据会创建公开的 S3 访问权限、一个未启用 MFA 的 IAM 用户以及一个开放的 SSH 安全组，以便 AWS 扫描能立即生成发现结果。 ## 🛠️ 开发 ### 🏗️ **Monorepo 结构** ``` cloudsploit-like/ ├── 📁 apps/ # User-facing applications │ ├── api/ # NestJS REST API │ ├── cli/ # oclif CLI tool │ └── ui/ # React web dashboard ├── 📦 packages/ # Shared libraries │ ├── core-engine/ # Core CSPM logic with advanced features │ │ ├── src/engine/ # Advanced security engines │ │ │ ├── ml-risk-prioritizer.ts │ │ │ ├── attack-path-simulator.ts │ │ │ ├── auto-remediation.ts │ │ │ ├── multi-cloud-mapper.ts │ │ │ ├── realtime-drift-detector.ts │ │ │ ├── cost-security-optimizer.ts │ │ │ ├── developer-security.ts │ │ │ ├── compliance-as-code.ts │ │ │ ├── container-serverless-context.ts │ │ │ └── threat-intelligence.ts │ │ └── src/schemas/ # Data schemas │ ├── providers/ # Cloud adapters │ │ ├── aws/ # AWS provider │ │ ├── azure/ # Azure provider │ │ ├── gcp/ # GCP provider │ │ ├── oci/ # OCI provider │ │ └── github/ # GitHub provider │ ├── rules/ # Security rules │ └── compliance/ # Framework definitions └── 🐳 infra/ # Infrastructure as code ├── docker-compose.yml ├── postgresql/ └── scripts/ ``` ### 🔧 **技术栈** - **语言**：TypeScript（类型安全、现代化） - **后端**：NestJS、PostgreSQL、Prisma ORM - **前端**：React 18、Vite、TailwindCSS、React Query - **CLI**：oclif、Commander.js - **基础设施**：Docker、Docker Compose - **云 SDK**：AWS SDK v3、Azure SDK、GCP Cloud SDKs - **高级特性**：Neo4j（图数据库）、ML 模型、威胁情报 API ## 📊 多云仪表板 ### 🎯 **统一可见性** - **提供商概览**：一目了然地查看所有云的状态 - **合规性评分**：带有趋势分析的实时评分 - **安全发现**：所有安全问题的统一视图 - **配置漂移事件**：配置变更时间线 - **资产清单**：跨云资源管理 - **风险评估**：按优先级排序的安全建议 ## 🔐 安全特性 ### 🛡️ **零信任架构** - **只读访问**：无破坏性操作，仅限监控 - **加密存储**：所有静态凭证均已加密 - **安全通信**：所有 API 调用均使用 TLS/HTTPS - **审计日志**：所有操作的完整审计追踪 - **基于角色的访问控制**：最小权限原则强制执行 - **网络隔离**：私有端点与 VPC 分段 ## 📈 合规覆盖范围 ### 🎯 **行业标准** | 框架 | 提供商覆盖范围 | 控制项 | 规则 | |-----------|------------------|----------|-------| | CIS AWS | ✅ | 20+ | 15+ | | SOC 2 | ✅ | 80+ | 60+ | | PCI-DSS | ✅ | 12+ | 25+ | | ISO 27001 | ✅ | 114+ | 90+ | | NIST | ✅ | 200+ | 150+ | | Cloud Security Baseline | ✅ | 5 | 39+ | ### 🔄 **持续合规** - **自动评估**：定期安排合规性扫描 - **趋势分析**：随时间追踪合规性变化 - **差距修复**：按优先级排序的安全改进建议 - **高管报告**：C 级别合规性摘要 - **多框架支持**：同时对照多个标准进行评估 ## 🚀 高级特性 ### 🎯 **企业级就绪** - **多租户**：支持多个组织 - **基于角色的访问控制**：按团队/职能划分的细粒度权限 - **API 限流**：遵守云提供商的限制 - **缓存**：用于提升性能的智能缓存 - **可扩展性**：处理企业级规模的部署 - **监控**：健康检查与指标收集 ### 🔌 **自定义** - **自定义规则**：编写组织特定的安全策略 - **自定义框架**：定义内部合规标准 - **插件开发**：轻松扩展新功能的扩展点 - **Webhook 集成**：向外部系统发送实时通知 - **白标**：灵活的部署选项 ## 📚 文档与支持 ### 📖 **全面的文档** - **API 文档**：完整的 OpenAPI/Swagger 规范 - **CLI 参考**：详细的命令文档 - **架构指南**：部署与配置指南 - **安全加固**：生产部署检查清单 - **故障排除**：常见问题与解决方案 ### 🤝 **社区与企业** - **MIT 许可证**：免费用于商业用途 - **活跃开发**：定期更新与功能发布 - **社区支持**：Discord、GitHub Discussions - **企业支持**：商业支持与 SLA 选项 - **贡献指南**：清晰的开发贡献流程 ## 🎖️ 为什么选择 CloudSploit-like？ ### 🏆 **与其他工具不同** - **❌ 其他 CSPM**：通常仅支持 AWS 或专注于单云 - **❌ 传统工具**：单体架构，可扩展性差 - **❌ 复杂的设置**：需要大量配置和专业知识 - **❌ 有限的合规性**：支持框架少，标准过时 ### ✅ **CloudSploit-like 的优势** - **🌐 真正的多云支持**：从第一天起就原生支持所有主要提供商 - **🔧 现代化架构**：类型安全、可扩展、可维护的代码库 - **📊 统一仪表板**：所有云安全的统一管理面板 - **🚀 性能优化**：高效的资源使用与快速扫描 - **🎯 企业级功能**：专为规模化、安全性和合规性需求而构建 - **🔄 面向未来**：随时迎接新兴云技术的可扩展设计 ## 🚀 **立即开始** ``` # 克隆并在几分钟内启动 git clone https://github.com/your-org/cloudsploit-like.git cd cloudsploit-like ./setup.sh && npm run dev:api & npm run dev:ui ``` **🌟 您的多云安全之旅从这里开始！**

标签：AI安全, AI应用开发, AI红队测试, Apex, AWS, Azure, Chat Copilot, CIS, CISA KEV, CISA项目, CloudFormation, CSPM, DevSecOps, DPI, ECS, GCP, GitHub安全, GPT, IaC代码生成, Neo4j, NIST, PCI-DSS, React, SOC 2, StruQ, Syscalls, Terraform, TinkerPop, TypeScript, 上下文感知告警, 上游代理, 云合规, 云安全态势管理, 人工智能, 企业级安全, 企业网络安全, 前端应用, 可扩展架构, 合规框架, 基线管理, 威胁情报, 子域名变形, 安全仪表盘, 安全合规, 安全情报, 安全插件, 实时漂移检测, 开发者工具, 开源云安全, 插件引擎, 攻击路径模拟, 无线安全, 机器学习, 模块化设计, 测试用例, 漏洞管理, 用户模式Hook绕过, 网络代理, 网络安全监控, 自动化修复, 自动化攻击, 请求拦截, 跨云管理, 配置漂移, 零信任架构, 风险优先级排序, 驱动开发