copyleftdev/sigma-audit

# Sigma Stack 审计 全频谱安全审计，结合五个分析层生成可交互的审计注册表。 **[仪表板](https://copyleftdev.github.io/sigma-audit/)** | **[cal.com 报告](https://copyleftdev.github.io/sigma-audit/reports/calcom-cal.com/)** ## 工作原理 对任意 GitHub 仓库运行脚本。它会跨五个层进行审计，生成交互式报告，并可选择发布到仪表板。 ``` # 本地审计 python3 sigma-audit.py calcom/cal.com # 审计并发布到实时仪表板 python3 sigma-audit.py calcom/cal.com --publish ``` 每次使用 `--publish` 会自动更新仪表板，无需手动步骤。 ## 五个层 | 层 | 工具 | 检测内容 | |----|------|----------| | **结构** | [Vajra](https://github.com/copyleftdev/vajra) | 依赖健康状况、结构异常 | | **代码** | [Semgrep](https://semgrep.dev) | XSS、注入、弱加密（OWASP SAST） | | **模式** | [Zentinel](https://github.com/copyleftdev/zentinel) | 硬编码密钥、原始 SQL、缺少 CSRF、旧版 TLS | | **供应链** | [VulnGraph MCP](https://vulngraph.tools) | CVE 情报、EPSS、利用 PoC、ATT&CK 映射 | | **问题** | GitHub API | 现有建议和问题交叉引用 | ## 每个 CVE 包含的信息 - **EPSS 分数** — 未来 30 天内被利用的概率 - **利用成熟度** — WEAPONIZED / FUNCTIONAL / POC / NONE - **概念验证链接** — ExploitDB、GitHub PoC、Nuclei 模板、Sigma 规则 - **CWE 分类** — 根本原因弱点 - **ATT&CK 技术** — 通过 CAPEC 桥接映射（CWE -> CAPEC -> ATT&CK） - **修复建议** — 易受攻击的版本范围与修复版本 - **GitHub 问题** — 是否已报告 ## 架构 ``` sigma-audit.py calcom/cal.com --publish | +-----+-----+-----+-----+ | | | | | Clone Deps SAST Zent MCP | | | | | +-----+-----+-----+-----+ | +-----------+ | VulnGraph | analyze_deps -> exploit_intel -> attack_surface | MCP | 15 CVEs deep-dived, kill chains mapped +-----------+ | GitHub Issues Cross-Reference | Generate Kinetic HTML Report | Push to sigma-audit repo | docs/reports//index.html <- individual report docs/reports/manifest.json <- dashboard reads this docs/index.html <- dashboard auto-populates | GitHub Pages deploys automatically ``` ## 仪表板 [仪表板](https://copyleftdev.github.io/sigma-audit/) 动态加载 `manifest.json` 并为每个审计的仓库渲染卡片，展示： - CVE 数量与严重等级分布 - 利用成熟度（武器化/功能性计数） - 攻击链数量与 ATT&CK 技术覆盖 - 顶级 CVE 及其 CVSS 与 EPSS 分数 - 整体风险等级 - 点击跳转至完整交互报告 添加一次审计只需一条命令：`python3 sigma-audit.py owner/repo --publish` ## 要求 - Python 3.8+ - [Semgrep](https://semgrep.dev/docs/getting-started/) - [Zentinel](https://github.com/copyleftdev/zentinel) - 本地运行的 [VulnGraph MCP 服务器](https://vulngraph.tools) - 已认证的 [GitHub CLI](https://cli.github.com/)（`gh`） ## 许可证 MIT

标签：ATT&CK映射, CAPEC, CISA项目, CSRF, CSV导出, CVE情报, EPSS评分, GitHub, GitHub Actions, GitHub审计, PE 加载器, PoC利用, Python审计脚本, SAST, Semgrep, Sigma Stack, StruQ, TLS安全, Vajra, VulnGraph MCP, WebSocket, WordPress安全扫描, Zentinel, 仪表盘, 依赖分析, 全栈安全审计, 威胁建模, 安全合规, 弱加密, 持续监控, 注入漏洞, 漏洞修复跟踪, 盲注攻击, 硬编码密钥, 网络代理, 自动化分析, 自动化报告, 自动笔记, 跨站脚本, 逆向工具, 速率限制处理