RyanJBush/aegis-ai
GitHub: RyanJBush/aegis-ai
一个集成 OWASP 防护与 AI 漏洞扫描的全栈脚手架,旨在降低安全Web应用开发的门槛并提升风险可见性。
Stars: 0 | Forks: 0
# Aegis AI 单体仓库
面向安全性的单体仓库脚手架,包含:
- FastAPI 后端
- React 前端
- PostgreSQL
- JWT 认证 + RBAC
- SQLi/XSS 模式检测流水线
- Docker 化本地环境 + GitHub Actions CI
## 仓库结构
```
backend/ FastAPI app (routers, models, services, tests)
frontend/ React app (layouts, pages, API service placeholders)
docs/ Architecture and API docs
```
## 后端安全能力(已实现)
- 基于 JWT 的注册/登录/个人信息流程。
- RBAC 角色:`admin`、`analyst`、`viewer`。
- 安全的认证输入约束(邮箱 + 密码长度策略)。
- 使用 SQLi/XSS 检测规则评估载荷的扫描流水线。
- 漏洞持久化与按严重级别/规则的扫描汇总报告。
- 账户创建、登录事件与扫描操作的基础日志记录。
## 快速开始
### 1)环境文件
```
cp backend/.env.example backend/.env
cp frontend/.env.example frontend/.env
```
### 2)通过 Docker 运行
```
make up
```
服务:
- 前端:http://localhost:3000
- 后端 API:http://localhost:8000
- API 文档:http://localhost:8000/docs
### 3)在本地无 Docker 运行
后端:
```
python -m venv .venv
source .venv/bin/activate
pip install -r backend/requirements.txt
uvicorn app.main:app --app-dir backend --reload
```
前端:
```
cd frontend
npm install
npm run dev
```
## 示例 API 流程
```
# 注册分析师
curl -X POST http://localhost:8000/api/v1/auth/register \
-H 'Content-Type: application/json' \
-d '{"email":"analyst@example.com","password":"StrongPassw0rd!","role":"analyst"}'
# 登录
TOKEN=$(curl -s -X POST http://localhost:8000/api/v1/auth/login \
-H 'Content-Type: application/json' \
-d '{"email":"analyst@example.com","password":"StrongPassw0rd!"}' | jq -r .access_token)
# 运行扫描
curl -X POST http://localhost:8000/api/v1/scanning/run \
-H "Authorization: Bearer $TOKEN" \
-H 'Content-Type: application/json' \
-d '{"target":"https://app.example.com/login","payload":"\" OR 1=1 -- "}'
```
## 安全注意事项
- 在生产使用前替换默认 JWT 密钥与所有凭证。
- 添加令牌刷新/吊销与账户锁定控制。
- 添加 Alembic 迁移与审计日志。
- 扩展检测覆盖面并优化误报处理。
## 前端安全仪表盘页面
- 仪表盘(`/`):态势指标 + 漏洞表格 + 扫描历史。
- 应用接口(`/app-interface`):用于扫描执行工作流的载荷输入 UI。
- 扫描结果(`/scan-results`):历史扫描状态与检测到的发现。
- 漏洞详情(`/vulnerabilities/:id`):技术深度分析与修复指导。
标签:AI安全扫描, API认证, AV绕过, Docker, FastAPI, GitHub Actions, JWT, PostgreSQL, RBAC, React, SEO全栈安全, SQL注入检测, Syscalls, Web安全, XML 请求, XSS检测, 全栈安全, 前后端分离, 安全开发, 安全日志, 安全路由, 安全防御评估, 测试用例, 漏洞报告, 漏洞检测工具, 自动笔记, 蓝队分析, 角色权限, 请求拦截, 输入校验