forbiddenlink/aegis-audit

# AegisAudit **标语：** 面向现代 Web 应用的安全态势报告。 # AegisAudit 🛡️ 一款现代化的全栈安全态势扫描器，支持 **Web 应用程序** (类似 DAST) 和 **源代码** (SAST)。 ## 功能特性 - **Web 扫描 (`scan`)**: - **Headers**: 检查 HSTS, CSP, X-Frame-Options 等。 - **DNS**: 分析 SPF, DMARC, CAA 记录。 - **Content**: 被动检测 HTML 中的 PII (电子邮件) 和暴露的 secrets (API Keys)。 - **Crypto**: 检查 SSL/TLS 证书过期时间和版本。 - **Probing**: 可选检查暴露的文件 (`.env`, `.git`)。 - **代码审计 (`audit`)**: - **Secrets**: 扫描文件中的硬编码 AWS keys, Google API keys 和私钥。 - **Dependencies**: 检查易受攻击的 Python 包 (`safety`) 和 Node.js 代码 (`npm audit`)。 - **Static Analysis**: 检测危险的 Python 模式，如 `eval()` 和 `exec()`。 - **卓越运营**: - **History**: 在本地 SQLite 数据库中随时间跟踪扫描评分。 - **Alerts**: 将结果发送到 Slack/Discord Webhooks。 - **Reports**: 生成 JSON, SARIF (GitHub Security) 以及包含趋势图的丰富 HTML 报告。 ## 安装 ``` git clone https://github.com/your-username/aegisaudit.git cd aegisaudit pip install -e . ``` ## 使用方法 ### 1. Web 扫描 扫描实时网站的安全问题。 ``` # 基础扫描 aegis scan --url https://example.com # 深度扫描（含文件探测）与 HTML 报告 aegis scan --url https://example.com --probe --format html # 发送警报至 Discord aegis scan --url https://example.com --webhook "https://discord.com/api/webhooks/..." ``` ### 2. 代码审计 审计本地目录中的 secrets 和漏洞。 ``` # 审计当前目录 aegis audit . # 审计指定文件夹并输出报告 aegis audit ./src --out ./audit-reports ``` ### 3. 查看历史 查看您的安全评分如何随时间推移而提高。 ``` aegis history ``` ## Docker 使用 运行 AegisAudit 而无需手动安装 Python 依赖项。 ``` docker build -t aegis . docker run --rm aegis scan --url https://example.com ``` ## 贡献 使用 `pytest` 运行测试： ``` pytest tests/ ``` ## 示例输出 ### 终端  *(示例：包含高/中/低严重程度和总体评分的发现表)* ### HTML 报告  *(示例：详细的修复指南)* ## 文档 - [愿景](docs/00-vision.md) - [检查目录](docs/07-check-catalog.md) - [CLI 规范](docs/05-cli-spec.md)

标签：CSP, DAST, DNS安全, Docker, HSTS, HTML报告, Python, SAST, SQL查询, SSL/TLS检测, StruQ, Web安全, 合规性报告, 域名收集, 安全态势, 安全标准, 安全规则引擎, 安全防御评估, 密码管理, 恶意软件分析, 文档安全, 无后门, 盲注攻击, 网络安全, 蓝队分析, 请求拦截, 逆向工具, 错误基检测, 隐私保护, 静态代码分析