javier20dev25/Sentinel

# Sentinel：GitHub 仓库的本地安全卫士 **[官方网站](https://javier20dev25.github.io/Sentinel/) | [用户指南](docs/USER_GUIDE.md) | [CLI 参考](docs/CLI_REFERENCE.md) | [沙箱指南](docs/SANDBOX_GUIDE.md) | [测试指南](docs/TESTING_GUIDE.md) | [架构设计](docs/ARCHITECTURE.md) | [策略文档](docs/POLICIES.md)** ## 🇪🇸 执行摘要（西班牙语） Sentinel 3.0 集成了基于 GitHub Actions 的**动态沙箱**基础设施，用于运行时行为分析。此功能可以识别绕过静态分析的威胁，例如 WebAssembly（WASM）二进制文件的执行、对命令与控制（C2）域的非授权网络连接，以及安装过程中锁定文件（lockfiles）完整性的篡改。 Sentinel 是一个高性能的本地安全监控与审计套件，旨在保护您的 GitHub 仓库免受漏洞、秘密泄露和未授权变更的影响。它结合了基于 Electron 的桌面应用、健壮的 Node.js 后端以及多功能的 CLI。 ## 愿景 Sentinel 作为开发环境的持久化“守望者”，实时扫描拉取请求、提交和本地配置，同时确保所有安全数据完全由您掌控。 ## 重要提示：持续开发中 Sentinel 由个人持续开发中。虽然核心安全引擎已足够健壮，但 CLI、桌面应用和网络接口的某些功能仍在优化中。我们正在积极修复漏洞并扩展功能。 ## 可用版本与部署指南 Sentinel 以三种格式分发。请选择最适合您工作流程的版本。 ### 1. Windows 安装程序（标准版） 这是希望获得传统桌面体验的 Windows 用户最便捷的选择。 * **格式**：.exe 安装程序。 * **指南**：从最新版本下载 `Sentinel Setup.exe`，运行安装程序并按照步骤操作。 * **注意**：如果 Windows SmartScreen 显示警告，请点击“更多详细信息”和“仍要运行”。 ### 2. 便携版本（零安装） 适用于便携环境或禁止安装的系统。 * **格式**：.zip 压缩包。 * **指南**：下载 `Sentinel-win32-x64.zip`，解压到任意目录并运行 `Sentinel.exe`。 ### 3. Sentinel 本地网络版（推荐 / 功能最强大） 这是 Sentinel 的终极版本。它直接从源代码运行，并提供最全面的安全功能，包括高级加固和本地服务器管理。 * **格式**：通过 NPM 获取源代码。 * **独有功能**： * **Sentinel 项目护盾（SPS）**：就地环境加固以及对依赖项安全性的深度 AST 静态分析。 * **资产守卫（SAG）**：对密钥、.env 等禁止文件进行预推送拦截，并提供主密码覆盖机制。 * **全局审计追踪（SGA）**：具备直接关联 GitHub 提交记录的完整不可变事件日志。 * **服务器进程管理**：远程关闭与实时后端监控。 **如何运行本地网络版：** ``` git clone https://github.com/javier20dev25/Sentinel.git cd Sentinel/src/ui npm install npm run sentinel ``` （注：使用 Node.js 20/22 LTS 版本可获得最佳性能与兼容性） ## 核心功能 * **实时扫描**：对本地与远程路径中的秘密、漏洞和错误配置进行持续监控。 * **交互式安全仪表板**：通过简洁专业的界面管理所有关联仓库及其安全状态。 * **内置 CLI**：直接在终端运行安全审计、管理链接并触发扫描。 * **加固命令执行**：采用严格白名单与直接参数数组，防止 shell 注入（CWE-78）。 * **GitHub 认证集成**：通过官方 GitHub CLI 实现安全的 OAuth 流程以访问仓库。 ## 技术栈 * **前端**：React.js + Vite + Framer Motion（高级 UI） * **桌面封装**：Electron * **后端**：Express.js（加固安全 API） * **数据库**：SQLite（通过 better-sqlite3） * **Git 引擎**：与 Git 及 GitHub CLI 直接集成 ## 安全原则 Sentinel 采用“本地优先、零信任”的方法： * **零 Shell 交互**：所有系统命令均通过 execFileSync 执行，并使用静态参数数组。 * **内存中清洗**：所有安全日志在存储或显示前均经过清洗。 * **数据主权**：扫描数据绝不会离开您的机器；所有内容均安全保存在本地 SQLite 数据库中。

标签：AI 威胁情报, C2 连接检测, CLI 工具, DevSecOps, DNS 反向解析, DNS 解析, GitHub Actions, GitHub 安全, MITM代理, Node.js 后端, PR 扫描, StruQ, WASM 执行, 上游代理, 云安全监控, 动态沙箱, 安全 CI, 安全守护, 实时扫描, 密钥泄露防护, 开发者安全工具, 持续安全, 提交监控, 本地安全监控, 本地开发安全, 机器学习安全, 桌面安全工具, 沙箱, 电子应用, 网络信息收集, 自动化攻击, 自动笔记, 运行时威胁检测, 锁文件完整性, 静态分析