g4r-tech/awesome-cloud-guardrails
GitHub: g4r-tech/awesome-cloud-guardrails
一个基于 Schema 驱动的云安全防护栏工具精选列表与结构化数据集,涵盖 CSPM、IaC 及容器安全等八大领域。
Stars: 0 | Forks: 0
# 精选云防护栏
## 缘起
大多数列表只是链接堆砌。本仓库是一个基于 Schema 的数据集,旨在构建一个公共目录,优先关注高价值信息、分类清晰度以及实际实施价值。
- 网站:[https://cloudguardrail.com](https://cloudguardrail.com)
- 在线目录:[https://cloudguardrail.com/tools](https://cloudguardrail.com/tools)
- 贡献:[提交 PR](https://github.com/g4r-tech/awesome-cloud-guardrails/pulls)
## 数据集快照
| 指标 | 数值 |
|---|---:|
| 工具总数 | 60 |
| 分类数 | 8 |
| Schema 中支持的云平台值 | 4 |
| 引用的合规框架 | 6 |
| 开源工具 | 51 |
| 商业工具 | 7 |
| 免费增值工具 | 2 |
## 允许的 Schema 值
- `category`(类别):CSPM, CNAPP, IaC Security, Secrets Scanning, Container Security, Compliance as Code, SBOM & Supply Chain, Cloud IAM Auditing
- `clouds`(云平台):AWS, Azure, GCP, Multi
- `type`(类型):Open Source, Commercial, Freemium
## 工具索引
### CSPM (6)
| 工具 | 类型 | 云平台 | 亮点 |
|---|---|---|---|
| [AWS Inventory](https://github.com/nccgroup/aws-inventory) | Open Source | AWS | 构建全面的跨区域 AWS 资产清单,用于暴露面和漂移分析。 |
| [CloudMapper](https://github.com/duo-labs/cloudmapper) | Open Source | AWS | 可视化 AWS 账户关系和攻击路径,用于安全审查。 |
| [CloudSploit Scans](https://github.com/cloudsploit/scans) | Open Source | AWS | 包含大量 AWS 安全检查项,用于大规模识别云配置错误。 |
| [Prowler](https://prowler.com) | Open Source | AWS, Azure, GCP | 覆盖大量基准测试,提供务实的云配置错误检查。 |
| [Scout Suite](https://github.com/nccgroup/ScoutSuite) | Open Source | AWS, Azure, GCP | 多云安全审计工具,提供可视化的发现结果和深入钻取功能。 |
| [Security Monkey](https://github.com/netflix/security_monkey) | Open Source | AWS | 监控云账户变更,并标记策略和配置漂移。 |
### CNAPP (6)
| 工具 | 类型 | 云平台 | 亮点 |
|---|---|---|---|
| [Lacework](https://www.lacework.com) | Commercial | Multi | 跨云、容器和身份的基于行为的 CNAPP 检测。 |
| [Orca Security](https://orca.security) | Commercial | Multi | 无代理 CNAPP 平台,专注于广泛的云资产和风险可见性。 |
| [Prisma Cloud](https://www.paloaltonetworks.com/prisma/cloud) | Commercial | Multi | 广泛的 CNAPP 套件,覆盖代码、运行时和云态势领域。 |
| [Sysdig Secure](https://sysdig.com/products/secure/) | Commercial | Multi | 结合了云态势、运行时威胁检测和容器漏洞控制。 |
| [Tenable Cloud Security](https://www.tenable.com/products/tenable-cloud-security) | Commercial | Multi | 具有强大态势分析和权限风险可见性的 CNAPP 产品。 |
| [Wiz](https://www.wiz.io) | Commercial | Multi | 跨工作负载和身份的基于图的云攻击路径可见性。 |
### IaC Security (11)
| 工具 | 类型 | 云平台 | 亮点 |
|---|---|---|---|
| [cdk-nag](https://github.com/cdklabs/cdk-nag) | Open Source | AWS | 在开发过程中将安全和合规规则应用于 AWS CDK 构造。 |
| [cfn-nag](https://github.com/stelligent/cfn_nag) | Open Source | AWS | 对 CloudFormation 模板进行 Lint 检查,在部署前检测有风险的安全配置。 |
| [CFripper](https://github.com/skyscanner/cfripper) | Open Source | AWS | 针对 CloudFormation 模板的静态分析,在部署前发现危险的权限和配置错误。 |
| [Checkov](https://www.checkov.io) | Open Source | AWS, Azure, GCP | 针对 Terraform、Kubernetes 和 CloudFormation 的策略即代码扫描。 |
| [CloudFormation Guard](https://github.com/aws-cloudformation/cloudformation-guard) | Open Source | AWS | 对 CloudFormation 模板进行策略即代码验证,在部署前阻止不安全的基础设施。 |
| [KICS](https://github.com/Checkmarx/kics) | Open Source | Multi | 针对 Terraform、Kubernetes 和其他 IaC 格式的静态分析引擎。 |
| [Snyk IaC](https://snyk.io/product/iac-security/) | Freemium | AWS, Azure, GCP | 开发者优先的 IaC 检查,紧密集成到 Pull Request 流程中。 |
| [Terragoat](https://github.com/bridgecrewio/terragoat) | Open Source | AWS | 故意包含漏洞的 Terraform 技术栈,用于测试 IaC 配置错误检测能力。 |
| [Terrascan](https://github.com/tenable/terrascan) | Open Source | Multi | 基于策略的 IaC 扫描器,覆盖广泛的云提供商和框架。 |
| [tfsec](https://aquasecurity.github.io/tfsec/) | Open Source | AWS, Azure, GCP | 快速的本地 Terraform 静态分析,提供清晰的修复输出。 |
| [Yor](https://github.com/bridgecrewio/yor) | Open Source | AWS, Azure, GCP | 使用可追溯性元数据自动标记 IaC 资源,以加强所有权和控制映射。 |
### Secrets Scanning (5)
| 工具 | 类型 | 云平台 | 亮点 |
|---|---|---|---|
| [detect-secrets](https://github.com/Yelp/detect-secrets) | Open Source | Multi | 专注于 Pre-commit 的秘密扫描器,针对嘈杂的仓库提供基线工作流。 |
| [GitGuardian ggshield](https://github.com/GitGuardian/ggshield) | Freemium | Multi | 开发者友好的提交和 CI 流水线秘密检测,准确率高。 |
| [Gitleaks](https://gitleaks.io) | Open Source | Multi | 简单、快速且对 CI 友好的泄露凭证扫描器。 |
| [shhgit](https://github.com/eth0izzle/shhgit) | Open Source | Multi | 实时 GitHub 秘密监控,快速暴露已泄露的凭证。 |
| [TruffleHog](https://trufflesecurity.com/trufflehog) | Open Source | Multi | 高信号秘密发现,包含凭证有效性验证。 |
### Container Security (6)
| 工具 | 类型 | 云平台 | 亮点 |
|---|---|---|---|
| [Aqua Trivy](https://trivy.dev) | Open Source | Multi | 单一 CLI 即可进行镜像、文件系统和 IaC 漏洞检查。 |
| [Falco](https://falco.org) | Open Source | Multi | 针对容器和 Kubernetes 工作负载的运行时威胁检测。 |
| [kube-bench](https://github.com/aquasecurity/kube-bench) | Open Source | Multi | 针对集群节点和控制平面运行 CIS Kubernetes 基准检查。 |
| [kube-hunter](https://github.com/aquasecurity/kube-hunter) | Open Source | Multi | 执行主动侦察以识别暴露的 Kubernetes 安全弱点。 |
| [Kubescape](https://github.com/kubescape/kubescape) | Open Source | Multi | Kubernetes 态势扫描器,提供框架映射和风险优先级指导。 |
| [Trivy Operator](https://github.com/aquasecurity/trivy-operator) | Open Source | Multi | 将持续的漏洞和配置扫描引入 Kubernetes 集群。 |
### Compliance as Code (9)
| 工具 | 类型 | 云平台 | 亮点 |
|---|---|---|---|
| [Automated Security Helper (ASH)](https://github.com/awslabs/automated-security-helper) | Open Source | AWS | 在隔离容器中运行多个代码和 IaC 安全扫描器,并生成一份汇总安全报告。 |
| [aws-nuke](https://github.com/rebuy-de/aws-nuke) | Open Source | AWS | 自动化安全清理 AWS 资源,以强制执行干净的账户基线。 |
| [Cloud Custodian](https://cloudcustodian.io) | Open Source | AWS, Azure, GCP | 策略驱动的云资源治理和自动修复。 |
| [Cloud-Nuke](https://github.com/gruntwork-io/cloud-nuke) | Open Source | AWS | 大规模删除云资源,以强制执行干净的账户基线并减少陈旧的攻击面。 |
| [CloudQuery](https://github.com/cloudquery/cloudquery) | Open Source | Multi | 将云配置数据提取到 SQL 表中,用于策略检查和报告。 |
| [Kubewarden](https://github.com/kubewarden/kubewarden-controller) | Open Source | Multi | 使用 WebAssembly 的准入策略框架,用于可移植的 Kubernetes 执行。 |
| [Kyverno](https://github.com/kyverno/kyverno) | Open Source | Multi | Kubernetes 原生策略引擎,用于可执行的防护栏和准入控制。 |
| [Open Policy Agent](https://www.openpolicyagent.org) | Open Source | Multi | 通用策略引擎,用于从 CI 到准入控制的各种场景。 |
| [Steampipe](https://steampipe.io) | Open Source | Multi | 使用 SQL 查询云 API,用于快速合规检查和仪表板展示。 |
### SBOM & Supply Chain (2)
| 工具 | 类型 | 云平台 | 亮点 |
|---|---|---|---|
| [Grype](https://github.com/anchore/grype) | Open Source | Multi | 专为与生成的 SBOM 配对使用而设计的漏洞扫描器。 |
| [Syft](https://github.com/anchore/syft) | Open Source | Multi | 开发者友好的 SBOM 生成器,支持广泛的软件包生态系统。 |
### Cloud IAM Auditing (15)
| 工具 | 类型 | 云平台 | 亮点 |
|---|---|---|---|
| [Cartography](https://github.com/lyft/cartography) | Open Source | Multi | 绘制云资产和信任关系图,以揭示有风险的访问路径。 |
| [cloudfox](https://github.com/bishopfox/cloudfox) | Open Source | AWS, Azure, GCP | 从攻击者角度枚举云攻击路径和身份暴露,以便快速分类。 |
| [CloudGoat](https://github.com/RhinoSecurityLabs/cloudgoat) | Open Source | AWS | 专门构建的 AWS 场景,用于验证检测和 IAM 攻击路径准备情况。 |
| [Cloudsplaining](https://github.com/salesforce/cloudsplaining) | Open Source | AWS | 识别 AWS 策略中有风险的 IAM 权限和权限提升模式。 |
| [CloudTracker](https://github.com/duo-labs/cloudtracker) | Open Source | AWS | 将 CloudTrail 活动与授予的 IAM 权限进行比较,以发现权限过高的身份。 |
| [iam-floyd](https://github.com/udondan/iam-floyd) | Open Source | AWS | 通过流式接口以编程方式生成 AWS IAM 策略,以减少策略编写错误。 |
| [IAMSpy](https://github.com/WithSecureLabs/IAMSpy) | Open Source | AWS | 分析 IAM 权限和信任路径,以揭示意外的访问和提权机会。 |
| [Pacu](https://github.com/RhinoSecurityLabs/pacu) | Open Source | AWS | AWS 渗透测试框架,用于测试 IAM 滥用路径和云配置错误。 |
| [Parliament](https://github.com/duo-labs/parliament) | Open Source | AWS | 对 IAM 策略进行 Lint 检查,以便早期发现权限、通配符和有风险的权限问题。 |
| [Peirates](https://github.com/inguardians/peirates) | Open Source | AWS | 模拟 AWS 环境中常见的 Kubernetes 到云的权限提升路径。 |
| [Permiso](https://permiso.io) | Commercial | AWS, Azure, GCP | 以身份为中心的检测,专注于云服务账户滥用。 |
| [PMapper](https://github.com/nccgroup/PMapper) | Open Source | AWS | 针对 AWS IAM 角色关系的权限提升路径分析。 |
| [Policy Sentry](https://github.com/salesforce/policy_sentry) | Open Source | AWS | 使用操作和资源数据库模型构建和分析最小权限 IAM 策略。 |
| [SkyArk](https://github.com/cyberark/SkyArk) | Open Source | AWS | 发现和评估增加账户接管风险的高权限 AWS 实体。 |
| [Stratus Red Team](https://github.com/datadog/stratus-red-team) | Open Source | AWS, Azure, GCP | 执行云攻击模拟场景,以验证检测和事件响应工作流。 |
## 贡献规则
- 严格遵守 [`schema/tools.schema.json`](schema/tools.schema.json)。
- 条目应客观、简洁,且具有非推广性。
- 仅使用 `https://` 开头的供应商/项目 URL。
- 为了便于审查,建议每次更改仅包含一个工具。
根据 `data/tools.json` + `schema/tools.schema.json` 自动生成。
标签:AD攻击面, AWS安全, Azure安全, CNAPP, CSPM, DevSecOps, ESC1, GCP安全, Guardrails, IaC安全, SBOM, Schema驱动, TinkerPop, Web截图, 上游代理, 云IAM审计, 云合规, 合规即代码, 安全基线, 安全工具集, 安全护栏, 安全资源列表, 容器安全, 开源安全工具, 教学环境, 硬件无关, 自定义脚本, 足迹分析, 跌倒检测, 软件物料清单, 逆向工程平台, 防御加固