theNeuralHorizon/sentinel

GitHub: theNeuralHorizon/sentinel

基于 AI 驱动的软件供应链安全治理平台，通过语义风险评分、向量溯源和自主修复工作流，将静态 SBOM 管理升级为实时的智能体安全治理。

Stars: 0 | Forks: 0

# Sentinel [![CI](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/d50bcc065d215656.svg)](https://github.com/theNeuralHorizon/sentinel/actions/workflows/ci.yml) [![Security](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/94461967ad215657.svg)](https://github.com/theNeuralHorizon/sentinel/actions/workflows/security.yml) [![License: Apache-2.0](https://img.shields.io/badge/License-Apache%202.0-blue.svg)](LICENSE) [![Bun](https://img.shields.io/badge/runtime-Bun%201.3-yellow?logo=bun)](https://bun.sh) [![SvelteKit 5](https://img.shields.io/badge/ui-SvelteKit%205-FF3E00?logo=svelte&logoColor=white)](https://svelte.dev) [![CycloneDX 1.6](https://img.shields.io/badge/SBOM-CycloneDX%201.6-blue)](https://cyclonedx.org) [![pgvector](https://img.shields.io/badge/vectors-pgvector-336791?logo=postgresql&logoColor=white)](https://github.com/pgvector/pgvector) [![Tests](https://img.shields.io/badge/tests-46%20bun%20%2B%206%20go-brightgreen)](#) Sentinel 是一个用于软件供应链安全的智能体治理平台。它超越了静态的 SBOM，迈向实时、AI 驱动的风险情报，并通过 n8n 工作流实现自主修复。 ## 问题 - **62% 的安全团队**无法了解其技术栈中 LLM/AI 组件的具体位置 ([VentureBeat, 2026](https://venturebeat.com/security/seven-steps-to-ai-supply-chain-visibility)) - **《欧盟网络弹性法案》**（2027 年生效）与**美国第 14028/14144 号行政命令**强制要求提供 SBOM 和漏洞证明 - 传统的 SBOM/CVE 工具会产生大量低信噪比的告警，且缺乏业务上下文 - 跨传递依赖的许可证合规性检查是一项繁琐且易错的手动工作 - AI/ML 供应链（模型、数据集、MCP 服务器）是一个全新且缺乏监控的攻击面 ## 解决方案 Sentinel 将您的供应链视为一个**动态图谱**，并将您的修复工作流视为一支**自主智能体舰队**： 1. **多生态系统扫描** — npm、Cargo、PyPI、Go modules、Maven、容器，**以及 ML/AI-BOM**（CycloneDX 1.6 + SPDX 3.0 AI profile） 2. **语义风险评分** — 由 LLM 驱动的分析超越了 CVSS：它会阅读 CVE 描述、您的代码上下文以及许可证文本，从而生成具备业务感知的风险评分 3. **向量索引溯源** — 由 pgvector 支持的相似性搜索可以在毫秒内解答诸如“还有哪些组件受类似 log4shell 漏洞影响？”的问题 4. **智能体修复** — n8n 工作流会根据风险等级自动创建 PR、提交 Jira 工单、轮换 token 或呼叫值班人员 5. **自然语言查询** — *“我受到 log4j 的影响有多大？”* → 基于实时 SBOM 图谱的即时解答 6. **偏移监控** — 每次发布都会生成一个已签名的 SBOM；Sentinel 会对其进行差异比对，并在供应链回归问题波及生产环境之前将其暴露出来 ## 新一代技术栈 | 层级 | 选型 | 原因 | |-------|--------|-----| | 运行时 | **Bun 1.3** | HTTP 吞吐量约为 Node 的 3 倍，原生 TS，启动更快 | | API | **Hono** | 适配边缘计算，在 Bun 上可达 130k+ req/s | | 扫描器 | **Go** | 原生 syft/grype 库，单二进制文件部署 | | ORM | **Drizzle** | 类型安全，零开销，Serverless 优先 | | 数据库 | **Postgres 17 + pgvector** | 集关系型与向量检索于一个引擎 | | 缓存/队列 | **Dragonfly** | 吞吐量为 Redis 的 25 倍，平滑兼容替换 | | 事件 | **NATS JetStream** | 至少投递一次，轻量级，高可用 | | 前端 | **SvelteKit 5 + Tailwind v4** | Runes，细粒度响应性，CSS 优先配置 | | 自动化 | **n8n** | 可自托管的工作流引擎，500+ 集成项 | | AI | **Claude Opus 4.7** | 用于风险分析的推理能力 + 本地 embeddings | | 部署 | **Docker + Kubernetes + Helm** | 生产级，可移植 | | CI/CD | **GitHub Actions** | 矩阵构建，缓存，cosign 签名 | ## 架构 ``` ┌──────────────┐ ┌───────────────┐ ┌────────────────┐ │ SvelteKit │────────▶│ Bun + Hono │────────▶│ Go Scanner │ │ Dashboard │ WS │ API Gateway │ gRPC │ (SBOM/Grype) │ └──────────────┘ └───────┬───────┘ └────────────────┘ │ ┌───────┼───────┐ ▼ ▼ ▼ ┌─────────┐ ┌───────┐ ┌─────────────┐ │ Postgres│ │ Drag- │ │ NATS │ │ pgvector│ │ onfly │ │ JetStream │ └─────────┘ └───────┘ └──────┬──────┘ │ ┌─────────────┼──────────────┐ ▼ ▼ ▼ ┌─────────┐ ┌──────────┐ ┌──────────┐ │Analyzer │ │ n8n │ │ Workers │ │ (Bun+AI)│ │ Remediate│ │ (Bun) │ └─────────┘ └──────────┘ └──────────┘ ``` ## 快速开始 ``` # Clone git clone https://github.com/theNeuralHorizon/sentinel cd sentinel # 启动 full stack docker compose up -d # 对本地 repo 运行扫描 bun x sentinel-cli scan ./my-project # 打开 dashboard open http://localhost:5173 ``` ## 文档 - [快速开始](docs/QUICKSTART.md) — 5 分钟本地启动 - [架构说明](docs/ARCHITECTURE.md) — 涵盖所有服务与数据流 - [API 参考](docs/API.md) - [策略配置](docs/POLICIES.md) — 编写声明式治理规则 - [部署指南](docs/DEPLOYMENT.md) — Kubernetes, Helm, 安全加固, 备份, 离线环境 - [AI 安全](docs/AI_SECURITY.md) — OWASP LLM Top 10 覆盖范围 + 威胁模型 - [性能基准](docs/BENCHMARKS.md) — 详细数据与复现命令 - [常见问题](docs/FAQ.md) — 技术栈选择、所有权、合规性与性能 - [研究背景](docs/RESEARCH.md) — 驱动此项目的 2026 年行业背景 - [路线图](docs/ROADMAP.md) — 后续计划与不在规划内的功能 - [产品演示](docs/DEMO.md) — 10 分钟演示脚本 - [贡献指南](CONTRIBUTING.md) · [安全政策](SECURITY.md) · [更新日志](CHANGELOG.md) · [CLAUDE.md](CLAUDE.md) ## 状态所有服务均通过 CI：lint + 类型检查 + 55 个 Bun 测试 + 8 个 Go 测试 + 集成数据填充 + 4 镜像容器构建矩阵。安全工作流包括：gitleaks + Trivy FS + OSV-Scanner + CodeQL (Go + JS/TS) + SBOM 证明。 ## 许可证 Apache-2.0。详见 [LICENSE](LICENSE)。 ## 资料来源与灵感 - Cloudsmith — [2026 年软件供应链安全指南：从静态 SBOM 到智能体治理](https://cloudsmith.com/blog/the-2026-guide-to-software-supply-chain-security-from-static-sboms-to-agentic-governance) - Sonatype — [2026 年软件供应链现状](https://www.sonatype.com/state-of-the-software-supply-chain/2026/software-compliance) - OpenSSF — [软件供应链安全工作组](https://openssf.org/tag/software-supply-chain-security/) - Anchore — [Syft 与 Grype](https://anchore.com/opensource/) - NIST — AI 风险管理框架 (AI-BOM / ML-BOM)

标签：Agent, AI/ML供应链安全, AI原生, Bun, Cargo, CI/CD安全, CISA项目, Claude, CVE, CVE检测, CycloneDX, DevSecOps, Go, Go Modules, Hono, Llama, Maven, n8n, npm, pgvector, PostgreSQL, PyPI, RAG, Ruby工具, SBOM, SvelteKit 5, TypeScript, Web截图, 上游代理, 人工智能, 供应链攻击, 依赖项管理, 向量化, 向量数据库, 多生态扫描, 大语言模型安全, 子域名突变, 安全合规, 安全插件, 实时风险情报, 容器安全, 工作流自动化, 开源, 数字签名, 日志审计, 机密管理, 治理平台, 测试用例, 漏洞验证, 用户模式Hook绕过, 知识检索, 硬件无关, 网络代理, 网络安全, 网络弹性法案, 自主修复, 自动修复, 自动化攻击, 许可证合规, 请求拦截, 跌倒检测, 软件供应链安全, 软件开发工具包, 软件物料清单, 远程方法调用, 隐私保护, 风险治理