Ksx9797/security-sweep-plugin

GitHub: Ksx9797/security-sweep-plugin

一款集成于 Claude Code 的本地代码安全扫描插件,帮助开发者在编码过程中发现硬编码密钥、安全漏洞和 OWASP Top 10 风险。

Stars: 0 | Forks: 0

# 🛡️ security-sweep-plugin - 发现代码中隐藏的安全风险 [![下载 security-sweep-plugin](https://img.shields.io/badge/Download-Release_Page-blue.svg)](https://github.com/Ksx9797/security-sweep-plugin/releases) ## 这个工具是什么? security-sweep-plugin 用于查找计算机项目中的错误。许多人会意外地将私人密码或密钥保存在文件中。这可能导致黑客窃取您的信息。此插件会自动扫描您的工作以查找这些风险。您无需了解复杂的安全规则即可使用它。它与您的 Claude Code 设置配合使用,以保护您的项目安全。 ## 为什么要使用这个工具? 大多数安全软件需要培训或昂贵的课程。此插件改变了这种方式。它会寻找指示漏洞的模式。漏洞是代码中的薄弱环节。通过尽早发现这些薄弱环节,您可以在共享或发布工作之前保护您的数据。它会跟踪 Web 项目和移动应用程序中出现的常见错误。您可以节省时间,因为该工具会在您构建时检查您的工作。 ## 📋 系统要求 - Windows 10 或 Windows 11 - 至少 4 GB 的 RAM - 已安装的 Claude Code - 用于初始设置的互联网连接 ## 🚀 如何下载和安装 1. 访问[官方发布页面](https://github.com/Ksx9797/security-sweep-plugin/releases)以获取安装程序。 2. 在最新发布版块下查找以 `.exe` 结尾的文件。 3. 点击文件名开始将其下载到您的计算机。 4. 在下载文件夹中找到已下载的文件。 5. 双击该文件以打开安装向导。 6. 按照屏幕上的说明进行操作。 7. 如果您的计算机显示安全提示,请确认您要运行该软件。 8. 进度条完成后,安装程序将自动完成。 安装程序会将必要的文件添加到您的系统路径中。您无需重新启动计算机,但如果您打开了终端,则应刷新它。 ## 🛠️ 如何运行安全扫描 安装插件后,它会直接连接到您的 Claude Code 工作区。您无需打开单独的窗口或界面。 1. 打开项目所在的文件夹。 2. 在项目文件夹内单击鼠标右键。 3. 选择“Open in Terminal”或“Open in Command Prompt”。 4. 在窗口中输入 `sweep-scan` 并按 Enter 键。 5. 在工具审查您的文件时观察屏幕。 该工具通过状态栏指示进度。它会显示已检查的文件数以及任何需要您注意的项目。 ## 🔍 了解扫描结果 该插件对发现进行分类,以帮助您决定首先修复什么。 - **Critical(严重):** 此类别显示暴露的 API 密钥或明文密码。您必须立即处理这些项目。API 密钥是一把数字密钥,可让他人访问您的账户。 - **Warning(警告):** 此类别指出了常见错误。示例包括薄弱的设置或具有已知漏洞的旧代码库。 - **Info(信息):** 此类别提供了最佳实践建议。它有助于保持代码的整洁和有序。 如果插件发现风险,它会为您提供文件名和确切的行号。您可以打开该文件,查看该行,并删除或替换敏感数据。 ## ✅ 维护项目安全 养成在完成项目之前运行扫描的习惯。安全是一个持续的过程。新文件通常包含新的秘密或配置错误。频繁的扫描可降低发生意外的风险。您可以随时运行该命令。对扫描次数或项目大小没有限制。 ## ⚙️ 插件配置 您可以通过编辑设置文件来优化工具的工作方式。在您的用户目录中查找名为 `sweep-config.json` 的文件。您可以使用任何文本编辑器(例如记事本)打开此文件。 - **忽略文件:** 如果您有不想扫描的文件,请将它们的名称添加到设置文件的忽略列表中。 - **扫描深度:** 您可以让工具深入检查您的子文件夹,或者只扫描主项目文件夹。 - **警报级别:** 如果您只想查看严重的安全漏洞,您可以选择隐藏信息级别的警报。 进行更改后保存文件。下次输入扫描命令时,扫描器将使用您的新设置。 ## ❓ 常见问题 **我需要付费账户才能使用它吗?** 不需要。此插件对所有人免费。 **我的代码会离开我的电脑吗?** 该插件在您的本地计算机上执行所有扫描。您的代码保留在您的硬盘上,该工具不会将您的私人数据发送到远程服务器。 **如果我发现了误报怎么办?** 有时该工具会标记看起来像密码但实际上只是示例字符串的行。如果发生这种情况,您可以将该特定行添加到您的忽略列表中。 **这仅供 Web 开发人员使用吗?** 该插件涵盖了广泛的需求。虽然它擅长 Web 和移动项目,但它也能在许多类型的编程任务中发现安全问题。 **我需要更新该工具吗?** 您应该每月检查一次发布页面。更新通常包含新规则,可帮助插件发现更高级的威胁。 ## 📈 安全最佳实践 始终像对待房屋钥匙一样对待您的 API 密钥。如果您计划将作品上传到互联网,切勿将其存储在项目文件中。如果您在代码中发现了密钥,请假定它已被泄露。通过您的服务提供商撤销该密钥并创建一个新密钥。该插件可帮助您发现这些泄露,但良好的习惯可以从一开始就防止它们发生。使用环境变量在运行时加载您的密钥,而不是将它们硬编码到您的文件中。这为您的项目提供了额外的保护层。
标签:AI辅助编程, Claude Code, DevSecOps, GitHub开源项目, OWASP Top 10, SAST, Secrets Detection, TypeScript, Web安全, Windows应用, 上游代理, 代码安全, 安全助手, 安全插件, 安全漏洞, 文档结构分析, 源代码分析, 漏洞枚举, 盲注攻击, 硬编码密钥, 移动应用安全, 网络安全, 蓝队分析, 隐私保护, 静态应用安全测试