sotille/forensics-and-incident-response-framework

# DevSecOps 取证与事件响应框架 [](LICENSE) [](CHANGELOG.md) [](docs/) [](CHANGELOG.md) [](CONTRIBUTING.md) DevSecOps 组织在预防方面投入巨大——包括扫描器、检查门、签名和加固。但是，当这些控制措施被绕过或失效时，往往缺乏调查发生了什么、保存证据以及了解影响范围的能力。临时的 CI 运行器在构建完成后即终止。容器在 Pod 重启后被删除。如果您记得启用 Lambda 函数，它们只会留下结构化日志。“犯罪现场”是一个 Git 提交哈希、一个 OCI 镜像摘要，或一个 15 分钟前过期的 OIDC 令牌。 该框架提供了结构化的流程、证据架构和调查手册，以便在 DevSecOps 中最重要的六个领域进行完整的取证调查：CI/CD 流水线、云工作负载和容器、软件供应链构件、身份与凭证、运行时系统以及 AI 代理操作。它涵盖了您必须在事件发生之前构建的基础设施，以及在事件发生后执行的流程。 ## 概述 该框架解决了现代 DevSecOps 取证中的核心矛盾：那些让云原生基础设施具有设计安全性的属性——不可变性、临时性、自动化、最小权限——除非您特意设计用于保存证据，否则它们也会破坏取证证据。被入侵的 GitHub Actions 运行器在作业完成的瞬间就会消失。处理了恶意构件的 EKS Pod 会被驱逐。泄露了凭证的 Lambda 函数根本没有持久化磁盘。 这里采用的方法是证据优先架构：在构建将要被调查的系统之前，先定义您在未来调查中需要的证据。该框架涵盖了记录什么内容、将其不可变地存储在何处、如何跨领域关联，以及在事件发生时如何执行结构化调查。 ## 目录 1. [快速入门](#quick-start) 2. [文档](#documentation) 3. [仓库结构](#repository-structure) 4. [谁应该使用此框架](#who-should-use-this-framework) 5. [贡献](#contributing) 6. [许可证](#license) 7. [学习资源](#learning-resources) ## 快速入门 ### 前置条件 在使用本框架中的调查手册之前，您的环境必须具备： - **防篡改日志存储**：将 CI/CD 审计日志、云提供商审计日志（CloudTrail、GCP Audit Logs、Azure Monitor）和 Kubernetes 审计日志发送到仅追加、WORM 保护的存储（S3 Object Lock、Azure Immutable Blob、具有仅转发器访问权限的 Splunk） - **构件签名和出处**：为所有生产构件生成 Cosign 签名和 SLSA 出处证明 - **SBOM 生成**：在构建时生成软件物料清单 (SBOM) 并与每个构件版本一起存储 - **Secret 审计日志记录**：启用并导出 HashiCorp Vault 审计日志；启用 AWS Secrets Manager CloudTrail 事件 - **网络日志记录**：为所有生产 VPC 启用 VPC Flow Logs；在适用的地方启用 Kubernetes 网络策略日志记录 如果这些前置条件未就绪，请在尝试使用调查手册之前从 [docs/implementation.md](docs/implementation.md) 第一阶段开始。 ### 推荐阅读顺序 如果您是本框架的新用户，请按以下顺序阅读： 1. [docs/introduction.md](docs/introduction.md) — 为什么 DevSecOps 中的取证与众不同 2. [docs/architecture.md](docs/architecture.md) — 有效调查需要哪些基础设施 3. [docs/framework.md](docs/framework.md) — 取证框架和调查模型 4. [docs/implementation.md](docs/implementation.md) — 如何逐步构建取证能力 5. 与您环境相关的领域手册 如果您正在响应当前事件，请直接转到相关的领域手册： - 流水线入侵 → [docs/pipeline-forensics.md](docs/pipeline-forensics.md) - 云/容器入侵 → [docs/cloud-forensics.md](docs/cloud-forensics.md) - 供应链入侵 → [docs/supply-chain-forensics.md](docs/supply-chain-forensics.md) - 代理/AI 系统事件 → [docs/agent-forensics.md](docs/agent-forensics.md) ## 文档 | 文档 | 描述 | |----------|-------------| | [docs/introduction.md](docs/introduction.md) | 为什么 DevSecOps 环境中的取证根本上是不同的 | | [docs/architecture.md](docs/architecture.md) | 证据架构：记录什么、存储在哪里以及如何保护它 | | [docs/framework.md](docs/framework.md) | 核心取证框架：IR 阶段、调查领域、严重性模型 | | [docs/implementation.md](docs/implementation.md) | 分阶段实施计划（0–30 天到 180+ 天） | | [docs/best-practices.md](docs/best-practices.md) | 证据处理、常见错误、沟通模板 | | [docs/roadmap.md](docs/roadmap.md) | 18 个月成熟度路线图 | | [docs/pipeline-forensics.md](docs/pipeline-forensics.md) | 流水线取证手册，包括 AI/代理流水线威胁 (PL-07, PL-08) | | [docs/cloud-forensics.md](docs/cloud-forensics.md) | 云和容器取证：EC2, EKS, Lambda, 容器 | | [docs/supply-chain-forensics.md](docs/supply-chain-forensics.md) | 使用 SBOM, SLSA 出处, Cosign 和 Rekor 进行供应链取证 | | [docs/agent-forensics.md](docs/agent-forensics.md) | AI 代理取证：工具调用重建、提示注入检测、代理监管链 | | [docs/evidence-chain-of-custody.md](docs/evidence-chain-of-custody.md) | 证据收集、打包、哈希处理和法律监管链 | | [docs/legal-hold-procedures.md](docs/legal-hold-procedures.md) | 法律保留触发器、实施、GDPR 考量、升级矩阵 | ## 仓库结构 ``` forensics-and-incident-response-framework/ ├── LICENSE ├── README.md ├── CHANGELOG.md ├── CONTRIBUTING.md └── docs/ ├── introduction.md ├── architecture.md ├── framework.md ├── implementation.md ├── best-practices.md ├── roadmap.md ├── pipeline-forensics.md ├── cloud-forensics.md ├── supply-chain-forensics.md ├── agent-forensics.md ├── evidence-chain-of-custody.md └── legal-hold-procedures.md ``` ## 谁应该使用此框架 | 角色 | 主要用途 | |------|-------------| | **安全工程师** | 构建证据架构；开发调查手册；执行事件调查 | | **平台/SRE 工程师** | 配置防篡改日志记录；实施构件签名和出处；将取证工具集成到平台中 | | **DevSecOps 负责人** | 项目级取证成熟度规划；路线图优先级排序；团队准备情况评估 | | **CISO 和安全经理** | 了解取证能力差距；评估法律和监管准备情况；委托取证演练 | | **事件响应人员** | 特定领域的调查手册；证据收集流程；影响范围评估 | | **法律与合规团队** | 法律保留流程；证据打包标准；监管证据要求 | 该框架最直接适用于在云原生环境中运营并拥有 CI/CD 流水线、容器工作负载和供应链构件管理的组织。在 DevSecOps 工作流中使用 AI 代理的组织将发现 [docs/agent-forensics.md](docs/agent-forensics.md) 是其他框架未涉及的新领域。 ## 生态系统交叉参考 该框架存在于更广泛的 Techstream DevSecOps 生态系统中： - **[secure-ci-cd-reference-architecture/docs/pipeline-forensics-playbook.md](../secure-ci-cd-reference-architecture/docs/pipeline-forensics-playbook.md)** — 基础流水线取证手册；[docs/pipeline-forensics.md](docs/pipeline-forensics.md) 在此基础上扩展了 AI/代理威胁类别 - **[software-supply-chain-security-framework/docs/incident-response-playbook.md](../software-supply-chain-security-framework/docs/incident-response-playbook.md)** — 供应链 IR；在 [docs/supply-chain-forensics.md](docs/supply-chain-forensics.md) 中进行了整合和扩展 - **[cloud-security-devsecops/docs/incident-response-playbooks.md](../cloud-security-devsecops/docs/incident-response-playbooks.md)** — 云 IR；在 [docs/cloud-forensics.md](docs/cloud-forensics.md) 中进行了整合和扩展 - **[devsecops-framework/docs/](../devsecops-framework/docs/)** — 父级 DevSecOps 框架 - **[techstream-docs/](../techstream-docs/)** — 中央文档索引 ## 贡献 有关为该框架做出贡献的指南，请参阅 [CONTRIBUTING.md](CONTRIBUTING.md)。 ## 许可证 根据 Apache License, Version 2.0 获得许可。完整的许可证文本请参阅 [LICENSE](LICENSE)。 ## 学习资源 - **[techstream-learn/book-3-cloud-security](../techstream-learn/book-3-cloud-security/)** — 云安全工程基础：日志架构、证据收集和云原生取证实验 - **[techstream-learn/book-5-ai-agentic-security](../techstream-learn/book-5-ai-agentic-security/)** — AI 和代理系统安全配套实验，包括： - [第 14 章 — 代理取证问题](../techstream-learn/book-5-ai-agentic-security/ch14-forensics-problem/) — 针对未部署监控器的代理部署进行证据差距分析 - [第 15 章 — 五个取证问题框架](../techstream-learn/book-5-ai-agentic-security/ch15-five-forensic-questions/) — 使用五个问题针对模拟事件证据进行结构化调查 - [第 16 章 — 代理取证调查手册](../techstream-learn/book-5-ai-agentic-security/ch16-forensics-playbooks/) — 在真实的证据集上执行 AF-01 和 AF-02 手册 - [第 17 章 — 代理取证准备情况](../techstream-learn/book-5-ai-agentic-security/ch17-forensics-readiness/) — 取证准备情况评估和演练设计 - [第 04 章 — 代理取证：会话重建](../techstream-learn/book-5-ai-agentic-security/ch04-agent-forensics/) — 重建会话、检测注入、验证出处 (实验 04) - **[techstream-books/VOLUMES.md](../techstream-books/VOLUMES.md)** — Techstream 技术卷的完整索引；该框架是第 3 卷（云原生安全）和第 5 卷（AI 和代理系统安全）的主要来源 - **[www.techstream.app](https://www.techstream.app)** — Techstream 平台和额外资源

标签：CI/CD安全, DevSecOps, Google Gemini, Llama, Web截图, 上游代理, 事件调查, 子域名突变, 容器安全, 库, 应急响应, 数字取证, 无服务器安全, 漏洞利用检测, 自动化脚本, 证据保全, 调查剧本, 身份与访问管理, 软件取证