Francosimon53/verification-layer

# vlayer - 每次提交都符合 HIPAA 合规要求 **针对医疗保健应用的自动化安全扫描。** 包含 140+ 条检测规则，可在 PHI 泄露、加密缺失和访问控制漏洞进入生产环境之前将其捕获。已为 HIPAA 2026 做好准备 - 覆盖 15/15 项要求。 [](https://github.com/Francosimon53/verification-layer/actions/workflows/ci.yml) [](https://www.npmjs.com/package/verification-layer) [](https://vlayer.app) [](LICENSE) [](package.json) **[从这里开始，只需 2 分钟](docs/start-here.md)** — 零配置即可运行您的首次扫描。 ## 快速开始 ``` # 全局安装 npm install -g verification-layer # 或使用 npx（无需安装） npx vlayer scan ./src # 扫描并生成 HTML 报告 npx vlayer scan ./src -f html -o report.html # 检查合规分数 npx vlayer score ./src # 自动修复问题 npx vlayer scan ./src --fix ``` ## 什么是 vlayer？ vlayer 是一个 CLI 工具和平台，用于扫描您的代码库以查找 HIPAA 合规性问题。专为处理受保护健康信息 (PHI) 的医疗保健初创公司和构建应用程序的开发者而构建。 **🎯 主要特性：** - **140+ 条检测规则**，涵盖 5 个 HIPAA 类别（PHI 泄露、加密、访问控制、审计日志、数据保留） - **已为 HIPAA 2026 NPRM 做好准备** - 覆盖所有 15 项新的网络安全要求 - **10 个培训模块**，包含 45+ 个问题和可通过 SHA-256 验证的证书 - **5 个 HIPAA 模板** - IRP、BAA、NPP、安全官角色、物理安全保障措施 - **合规评分 (0-100)** - 随时间跟踪您的 HIPAA 准备情况 - **CI/CD 集成** - GitHub Actions、pre-commit hooks、PR 评论 - **PDF 审计报告** - 面向审计员的执行摘要和技术发现 - **VS Code 扩展** - 带有内联诊断的实时扫描 - **Pro 控制台** - 历史扫描、团队管理、模板访问，请访问 [app.vlayer.app](https://app.vlayer.app) ## 🌐 链接 - **Landing**: [vlayer.app](https://vlayer.app) - 产品概述和定价 - **控制台**: [app.vlayer.app](https://app.vlayer.app) - 包含历史扫描和团队管理的 Pro 控制台 - **文档**: [docs.vlayer.app](https://docs.vlayer.app) - 完整指南和 API 参考 - **GitHub**: [github.com/Francosimon53/verification-layer](https://github.com/Francosimon53/verification-layer) - 开源 CLI - **npm**: [npmjs.com/package/verification-layer](https://www.npmjs.com/package/verification-layer) - 安装扫描器 ## 💰 定价 | 计划 | 价格 | 特性 | |------|-------|----------| | **Open Source** | **$0/永久** | 完整扫描器、CLI、140+ 规则、合规评分、培训模块、社区支持 | | **Pro** | **$49/月** ($490/年) | OSS 全部功能 + 带有 PR 评论的 GitHub App、pre-commit hooks、历史扫描控制台、HIPAA 文档模板、团队跟踪（10 名用户）、PDF 审计报告、电子邮件支持（48 小时 SLA）。**14 天免费试用** | | **Enterprise** | **定制** | Pro 全部功能 + 自定义检测规则、自托管部署、SSO/RBAC 集成、专属合规顾问、自定义培训模块、审计准备支持、优先支持（4 小时 SLA）。联系：[sales@vlayer.app](mailto:sales@vlayer.app) | [开始免费试用](https://app.vlayer.app/pricing) • [查看定价](https://vlayer.app/#pricing) ## 🛡️ 已为 HIPAA 2026 做好准备 新的 HIPAA 安全规则 (NPRM 2026) 增加了 15 项网络安全要求。vlayer 覆盖了 **全部 15 项**： ✅ 网络分段 ✅ 加密标准 ✅ Multi-Factor Auth ✅ 审计日志监控 ✅ 事件响应 ✅ 漏洞扫描 ✅ 资产清单 ✅ 访问控制 ✅ 数据最小化 ✅ 安全配置 ✅ 补丁管理 ✅ 风险评估 ✅ 业务连续性 ✅ 安全培训 ✅ 第三方风险 **不合规的代价：** - $2M 平均泄露成本 - $100-$50K 每次违规 (Tier 1-4) - $1.5M 每种违规类型的年度上限 - 刑事处罚：$250K + 10 年监禁 ## 📊 检测类别 vlayer 跨 5 个 HIPAA 合规类别扫描 **140+ 种安全模式**： | 类别 | 规则数 | 检测内容 | |----------|-------|-----------------| | **PHI 泄露** | 28 | 代码中的 SSN/MRN、日志中的 PHI、localStorage、URL、诊断代码、未加密的患者数据 | | **加密** | 18 | 弱加密算法 (MD5, DES)、禁用的 SSL/TLS、HTTP URL、缺失的静态加密 | | **访问控制** | 24 | SQL injection、XSS、CORS wildcards、硬编码凭证、IDOR 漏洞、缺失认证 | | **审计日志** | 15 | 缺失日志框架、未记录的 PHI 操作、不充分的审计追踪 | | **数据保留** | 12 | 无审计的批量删除、缺失的保留策略、不当的数据删除 | | **网络分段** | 14 | 缺失网络隔离、不安全的 API 端点、不受限制的 PHI 访问 | | **Multi-Factor Auth** | 8 | 缺失 MFA、弱认证、仅密码访问 PHI | | **事件响应** | 10 | 缺失 IRP、未监控的安全事件、无泄露通知流程 | | **漏洞管理** | 11 | 未修补的依赖项、缺失的安全更新、已知 CVE | | **资产清单** | 9 | 未记录的 PHI 存储、影子 IT、未跟踪的数据流 | | **Session 管理** | 8 | 弱 Session 配置、缺失超时设置、不安全的 cookies | | **第三方风险** | 6 | 不安全的供应商集成、缺失 BAA、未经审查的第三方代码 | **总计：140+ 条规则** ## 🎓 培训模块 通过内置培训将您的开发人员转变为具备 HIPAA 意识的工程师： ``` vlayer train ``` - **10 个交互式模块**，涵盖 HIPAA 基础知识、技术保障措施和最佳实践 - **45+ 个测验问题**，并提供即时反馈 - **SHA-256 可验证证书**，用于审计文档 - 跟踪团队进度和完成率 (Pro 计划) **涵盖的主题：** - HIPAA 隐私与安全规则 - PHI 识别与处理 - 加密标准与实施 - 访问控制与认证 - 审计日志与监控 - 事件响应程序 - 业务伙伴协议 (BAA) - 数据泄露通知要求 - 物理和技术保障措施 - 合规处罚与执法 ## 📄 HIPAA 模板 5 个生产就绪的策略模板 (Pro 计划)： ``` vlayer templates list vlayer templates export irp ``` | 模板 | 描述 | |----------|-------------| | **事件响应计划 (IRP)** | 分步泄露响应程序 | | **业务伙伴协议 (BAA)** | 针对第三方供应商的标准 BAA | | **隐私实践通知 (NPP)** | 患者权利和 PHI 使用披露 | | **安全官角色** | 职责和权限文档 | | **物理安全保障措施** | 设施访问控制和工作站安全 | 所有模板均： - ✅ 符合 HIPAA 且通过审计准备 - ✅ 可根据您的组织进行定制 - ✅ 提供 Word 和 PDF 格式 - ✅ 定期更新以适应法规变化 ## 🔧 CLI 命令 ``` # 扫描 vlayer scan # Basic scan vlayer scan -f html -o report.html # HTML report vlayer scan -f markdown -o report.md # Markdown report vlayer scan --fix # Auto-fix issues vlayer scan -c phi-exposure encryption # Specific categories # 合规分数 vlayer score # Calculate compliance score (0-100) vlayer score -f json # JSON output # Watch Mode vlayer watch # Watch for changes vlayer watch -c phi-exposure # Watch specific categories # 审计报告 vlayer report # Generate auditor-ready report vlayer report -o report.html # Custom output path vlayer report --org "Company" # Set organization name # 培训 vlayer train # Start interactive training vlayer train --module 2 # Specific module vlayer train --certificate # Generate certificate # Templates (Pro) vlayer templates list # List available templates vlayer templates export irp # Export Incident Response Plan vlayer templates export baa # Export Business Associate Agreement # 基线 vlayer baseline # Generate baseline vlayer scan --baseline .vlayer-baseline.json # Scan with baseline # 配置 vlayer init # Generate .vlayerrc.json ``` **退出代码：** - `0` - 未发现严重问题 - `1` - 发现严重问题（适用于 CI/CD） ## ⚙️ CI/CD 集成 ### GitHub Actions ``` name: HIPAA Compliance on: [push, pull_request] jobs: vlayer-scan: runs-on: ubuntu-latest steps: - uses: actions/checkout@v3 - uses: actions/setup-node@v3 with: node-version: '18' - run: npx vlayer scan ./src ``` ### Pre-commit Hook ``` # 安装 pre-commit hook npx vlayer install-hook # .git/hooks/pre-commit 现在将对暂存文件运行 vlayer ``` ### Pull Request 评论 安装 [vlayer GitHub App](https://app.vlayer.app) 以获取带有合规性发现的自动 PR 评论。 ## 📊 合规控制台 在 [app.vlayer.app](https://app.vlayer.app) 访问历史扫描、团队管理和审计报告： - **历史扫描** - 随时间跟踪合规趋势 - **团队管理** - 邀请团队成员（Pro 版包含 10 个席位） - **模板库** - 访问所有 5 个 HIPAA 文档模板 - **PDF 报告** - 生成审计就绪报告 - **培训控制台** - 跟踪团队培训完成情况 - **合规评分跟踪** - 随时间监控您的 0-100 分 **特性：** - 深色主题与专业 UI - 按严重程度和类别筛选发现 - 导出 JSON、CSV 或 PDF 格式数据 - 严重发现邮件通知 - 集成 Slack/Teams（即将推出） ## 🔍 VS Code 扩展 在编辑器中获得实时的 HIPAA 合规反馈： ``` # 从 vscode-extension 目录安装 cd vscode-extension npm install npm run compile ``` **特性：** - ✅ 文件保存时实时扫描 - ✅ 带有严重性标记的内联诊断 - ✅ 带有 HIPAA 参考的悬停工具提示 - ✅ 用于自动修复的快速操作 - ✅ 状态栏合规评分 - ✅ 命令："VLayer: Scan Current File", "VLayer: Scan Workspace" ## 🤖 AI 驱动的扫描（可选） 利用 Claude AI 减少误报并捕获复杂的违规行为： ``` # 设置 API key export ANTHROPIC_API_KEY="sk-ant-..." # 运行 AI 驱动的扫描 vlayer ai-scan ./src # 调整预算 vlayer ai-scan ./src --budget 100 ``` **AI 特性：** - 6 条专用的 LLM 规则用于检测复杂的 HIPAA 违规 - 自动分类以将误报减少 50% 以上 - PHI 清洗（符合 HIPAA 安全标准，不向 API 发送 PHI） - 具有预算限制和缓存的成本控制 **典型成本：** 每次扫描 $0.10-$0.50 ## 📝 配置 在项目根目录创建 `.vlayerrc.json`： ``` { "exclude": ["**/*.test.ts", "**/__mocks__/**"], "ignorePaths": ["sample-data", "fixtures"], "safeHttpDomains": ["my-internal-cdn.com"], "contextLines": 3, "categories": ["phi-exposure", "encryption", "access-control"], "minConfidence": "medium", "ai": { "enabled": true, "enableTriage": true, "budgetCents": 50 } } ``` ## 🏗️ 自动修复 自动修复常见漏洞： ``` vlayer scan ./my-app --fix ``` | 问题 | 应用的自动修复 | |-------|------------------| | SQL injection | 转换为参数化查询 | | 硬编码密码 | 替换为 `process.env.PASSWORD` | | 硬编码 API key | 替换为 `process.env.API_KEY` | | HTTP URL | 升级为 HTTPS | | innerHTML | 替换为 `textContent` | | console.log 中的 PHI | 注释掉并添加审查标记 | ## 📚 HIPAA 参考 每个发现都映射到具体的 HIPAA 法规： | 参考 | 要求 | |-----------|-------------| | §164.502, §164.514 | PHI 披露和去标识化 | | §164.312(a)(1) | 访问控制机制 | | §164.312(a)(2)(iv) | 加密和解密 | | §164.312(b) | 审计控制 | | §164.312(d) | 人员或实体认证 | | §164.312(e)(1) | 传输安全 | | §164.530(j) | 文档保留（6 年） | ## 🤝 贡献 欢迎贡献！在提交 PR 之前，请阅读我们的贡献指南。 ``` # 开发 npm install npm run dev # Watch mode npm run test # Run tests npm run lint # Lint code npm run typecheck # Type check ``` ## 📄 许可证 MIT 许可证 - 详情请参见 [LICENSE](LICENSE)。 ## 📧 联系方式 - **一般咨询**: [hello@vlayer.app](mailto:hello@vlayer.app) - **销售与企业**: [sales@vlayer.app](mailto:sales@vlayer.app) - **企业解决方案**: [enterprise@vlayer.app](mailto:enterprise@vlayer.app) - **支持**: [GitHub Issues](https://github.com/Francosimon53/verification-layer/issues)

为认真对待合规的医疗保健开发者构建。

网站 • 文档 • 控制台 • 报告 Bug • 请求功能

标签：CI/CD安全, CISA项目, DevSecOps, GNU通用公共许可证, HIPAA, Llama, LNA, MITM代理, Node.js, PHI数据保护, SAST, Streamlit, 上游代理, 云安全监控, 代码修复, 代码安全审计, 健康医疗, 医疗信息安全, 医疗合规, 受保护健康信息, 合规报告, 安全专业人员, 安全检测规则, 审计日志, 数据加密, 文档结构分析, 暗色界面, 盲注攻击, 网络安全, 网络安全, 自动化攻击, 访问控制, 软件供应链安全, 远程方法调用, 隐私保护, 隐私保护, 静态分析