NETRA

安全的第三只眼

AI 辅助的安全编排工具，能够发现漏洞并使用 AI 进行验证，
映射至合规框架并生成报告——全部集成于一个自动化工作流中。

快速开始 · 为什么选择 NETRA · 功能特性 · 架构 · 贡献指南

## 什么是 NETRA？ 安全团队耗费数小时运行互不相干的工具，手动关联输出结果并编写报告。NETRA 仅需一条命令即可替代整个工作流。 **NETRA 编排了 18 款安全工具，通过包含 4 种角色的 AI 引擎验证发现结果，将所有内容映射至合规框架，并生成 13 种报告格式**——从高管摘要到技术深度分析一应俱全。 ``` One scan → Complete assessment → Audit-ready reports ``` ## 为什么选择 NETRA？ ### 使用 NETRA 之前 ``` # 手动运行 18 个不同的工具 subfinder -d target.com > subs.txt amass enum -d target.com >> subs.txt httpx -l subs.txt > live.txt nmap -iL live.txt -oN scan.xml nuclei -l live.txt -o vulns.txt sqlmap -m live.txt --batch nikto -h target.com # ... 以及 11 个以上的工具 # 然后花费数小时： # ❌ 关联跨工具输出 # ❌ 手动移除误报 # ❌ 将发现映射到合规 # ❌ 从头开始编写报告 ``` **总耗时：8-10 小时** ### 使用 NETRA 之后 ``` # 一个命令 netra scan --target target.com --profile standard # 获取所有内容： # ✅ 所有 18 个工具自动编排 # ✅ AI 验证发现（减少 60% 的误报） # ✅ 自动映射到 6 个合规框架 # ✅ 13 种报告格式在几分钟内准备就绪 ``` **总耗时：2-3 小时（大部分已自动化）** ## 快速开始 ### 安装 ``` # 一键安装（推荐） bash <(curl -s https://raw.githubusercontent.com/yashwarrdhangautam/netra/main/install.sh) # 或者使用 Docker git clone https://github.com/yashwarrdhangautam/netra.git && cd netra cp .env.example .env docker compose up -d ``` ### 你的第一次扫描 ``` # 快速扫描（30 分钟） netra scan --target scanme.nmap.org --profile quick # 完整 VAPT（2-3 小时） netra scan --target example.com --profile standard # 查看发现 netra findings --scan-id --severity critical # 生成报告 netra report --scan-id --type executive ``` ## 你将获得什么 ### 18 款安全工具，单一 Pipeline NETRA 在一个智能的 6 阶段 pipeline 中运行这些工具： | 阶段 | 工具 | 功能描述 | |-------|-------|--------------| | **侦察** | subfinder, amass | 发现子域名和攻击面 | | **探测** | httpx, shodan | 识别存活主机和服务 | | **扫描** | nmap, nuclei, nikto | 端口扫描和漏洞检测 | | **主动测试** | sqlmap, dalfox, ffuf, wpscan | SQL 注入、XSS、Fuzzing、WordPress | | **代码与云** | semgrep, gitleaks, trivy, prowler, checkov | SAST、机密信息、容器、CSPM | | **AI/LLM** | llm_security | OWASP LLM Top 10 测试 | ### 真正有用的 AI NETRA 的 4 角色 AI 引擎不仅会总结——它还会进行**验证**： | 角色 | 功能描述 | |---------|--------------| | **攻击者** | “这个可以被利用吗？攻击路径是什么？” | | **防御者** | “我们该如何修复？工作量有多大？” | | **分析师** | “这会影响哪些合规控制措施？” | | **怀疑者** | “这是误报吗？给我看证据。” | **结果：** 必须有 3/4 的角色达成一致，发现结果才会被确认。这将误报减少了约 60%。 ### 自动化合规 每项发现都会自动映射至： - **CIS Benchmarks** (150+ 控制项) - **NIST CSF** (85+ 子类别) - **PCI-DSS v4.0** (100+ 要求) - **HIPAA** (20+ 安全保障措施) - **SOC2 Type II** (60+ 评估标准) - **ISO 27001** (93+ 控制项) 此外，还为开发人员提供了 101 个 CWE 映射。 ### 面向各类受众的报告 **13 种格式**，让您无需再从零开始编写报告： | 格式 | 适用对象 | |--------|--------------| | Executive PDF | 管理层（风险仪表盘，业务影响） | | Technical PDF | 工程团队（CVSS，CWE，修复建议） | | Interactive HTML | 开发人员（可搜索，可过滤） | | Word/Excel | 定制化与跟踪 | | SARIF | GitHub Security 标签页集成 | | Evidence ZIP | 审计人员（原始输出 + 证据保管链） | | Compliance PDF | 合规团队（框架状态） | | Delta Report | 进度跟踪（前后对比） | ## 实际成效 ### OWASP Benchmark 性能表现 | 指标 | NETRA | 行业平均水平 | |--------|-------|------------------| | **检测率** | 91% | 65% | | **误报率** | 8% | 35% | | **扫描时间** | 2小时 15分钟 | 3小时 40分钟 | ### 速度对比 | 扫描类型 | NETRA | 竞品 A | 竞品 B | |-----------|-------|--------------|--------------| | 快速 | 28 分钟 | 35 分钟 | 42 分钟 | | 标准 | 2小时 15分钟 | 3小时 40分钟 | 4小时 10分钟 | | 深度 | 4小时 30分钟 | 7小时 15分钟 | 8小时 00分钟 | ## 架构 ``` ┌─────────────────────────────────────────────────────────┐ │ NETRA Platform │ ├─────────────────────────────────────────────────────────┤ │ CLI │ Dashboard │ REST API │ MCP (Claude) │ │ └────────────────────┬───────────────────────────────┘ │ │ │ │ │ ┌────────▼────────┐ │ │ │ Orchestrator │ │ │ │ (Celery+Redis) │ │ │ └────────┬────────┘ │ │ │ │ │ ┌──────────────┼──────────────┐ │ │ │ │ │ │ │ ┌────▼────┐ ┌─────▼─────┐ ┌────▼────┐ │ │ │Scanners │ │ AI Brain │ │Compliance│ │ │ │ (18) │ │(4-Persona)│ │ Mapper │ │ │ └─────────┘ └───────────┘ └─────────┘ │ │ │ │ │ ┌─────────▼────────┐ │ │ │ PostgreSQL │ │ │ │ (SQLAlchemy 2) │ │ │ └──────────────────┘ │ └─────────────────────────────────────────────────────────┘ ``` ### 技术栈 - **后端：** Python 3.12, FastAPI, SQLAlchemy 2.0, Pydantic 2 - **前端：** React 18, TypeScript, Tailwind CSS, shadcn/ui - **队列：** Celery 5.3 + Redis 7 - **数据库：** PostgreSQL 16 / SQLite - **AI：** Anthropic Claude / Ollama (本地 LLM) - **部署：** Docker Compose, 多阶段构建 ## 扫描配置 根据您的需求选择合适的深度： | 配置 | 耗时 | 最适用场景 | |---------|------|----------| | `quick` | 30 分钟 | 部署前检查 | | `standard` | 2-3 小时 | 完整的 VAPT 评估 | | `deep` | 4-6 小时 | 综合审计 | | `cloud` | 3-4 小时 | AWS/Azure/GCP 安全 | | `api_only` | 1-2 小时 | API 端点测试 | | `container` | 1-2 小时 | 容器/IaC 扫描 | | `ai_llm` | 1-2 小时 | LLM 安全测试 | ## 常见工作流 ### 外部渗透测试 ``` # 运行标准 VAPT netra scan --target target.com --profile standard # 审查关键发现 netra findings --scan-id --severity critical # 生成面向客户的报告 netra report --scan-id --type pentest --output ./deliverables ``` ### CI/CD 安全门禁 ``` # .github/workflows/security.yml name: Security Scan on: [pull_request] jobs: scan: runs-on: ubuntu-latest steps: - uses: actions/checkout@v4 - run: pip install netra - run: netra scan --target ${{ github.repository }} --profile quick - uses: github/codeql-action/upload-sarif@v3 with: sarif_file: results.sarif ``` ### 云安全审计 ``` # AWS 安全态势评估 netra scan --target aws --profile cloud \ --aws-profile production \ --regions us-east-1 us-west-2 # 查看 CIS benchmark 合规 netra compliance --framework cis-aws --scan-id ``` ## 谁在使用 NETRA？ - **安全顾问**，提供客户渗透测试交付 - **AppSec 团队**，管理应用程序安全计划 - **DevSecOps 工程师**，将安全集成到 CI/CD 中 - **合规团队**，为 SOC2、PCI-DSS、HIPAA 审计做准备 - **MSSP**，提供安全评估即服务 ## 文档 | 指南 | 链接 | |-------|------| | 安装说明 | [docs/installation.md](docs/installation.md) | | 配置说明 | [docs/configuration.md](docs/configuration.md) | | 扫描配置 | [docs/profiles.md](docs/profiles.md) | | API 参考 | [docs/api.md](docs/api.md) | | 性能基准 | [docs/BENCHMARKS.md](docs/BENCHMARKS.md) | | 用例 | [docs/USE_CASES.md](docs/USE_CASES.md) | | 常见问题 | [docs/FAQ.md](docs/FAQ.md) | ## 已知局限性 | NETRA 不能做什么 | 替代方案 | |-----------------------|-------------| | Windows 原生安装 | 使用 Docker | | 移动应用二进制扫描 | 仅测试后端 API | | 二进制漏洞利用 | 需手动测试 | | 社会工程学 | 超出范围 | | 物理安全测试 | 超出范围 | ## 贡献 NETRA 是开源的。欢迎贡献。 ``` git clone https://github.com/yashwarrdhangautam/netra.git cd netra poetry install pytest # Run tests ruff check src/ # Lint mypy src/ # Type check ``` 详情请参阅 [CONTRIBUTING.md](CONTRIBUTING.md) 获取指南。 ## 安全 发现了 NETRA 的漏洞？请通过 GitHub Security Advisories 私下报告。请勿公开提 Issue。 ## 许可证 NETRA 采用 [GNU Affero General Public License v3.0](LICENSE) (AGPL-3.0) 进行授权。

由 Yash Wardhan Gautam 构建

每次扫描，守护数字世界的安全。

标签：AI辅助, AI风险缓解, DevSecOps, FTP漏洞扫描, GPT, NETRA, Python, 上游代理, 人工智能, 合规性映射, 合规报告, 安全编排, 密码管理, 工作流自动化, 插件系统, 搜索引擎查询, 无后门, 无线安全, 测试用例, 漏洞管理, 用户模式Hook绕过, 第三方安全, 网络安全, 网络安全审计, 自动化报告, 自动化验证, 请求拦截, 逆向工具, 隐私保护