famousleads/safecadence-network-risk

``` pip install 'safecadence-netrisk[server]' safecadence ui # opens http://127.0.0.1:8765 ``` 仅此而已。发现、识别、CVE 匹配、AI 策略解读、漂移检测、多厂商修复生成、合规报告 — 全部在本地运行，无云端、无注册、无遥测。 ## 功能概述 三层架构，一个工具： ### v2 — 审计（原始版本） - **发现 LAN 上的每一台设备** — TCP 探测 + ARP 缓存 + mDNS Bonjour + SNMP v2c - **识别厂商 + 操作系统 + 型号 + 版本** — 捆绑的 OUI 数据库、banner 抓取、SNMP sysDescr、TLS 证书主题、HTTP 页面标题 - **与实时 CISA KEV 目录匹配** — 标记已知利用的漏洞 - **毒性组合检测** — *"Telnet AND HTTP admin AND SNMP 暴露 = 复合严重"* - **合规审计包** — SOC 2、PCI-DSS、HIPAA、NIST 800-53、CIS Controls v8 ### v4 — 设备智能平台 - **6 个基础设施领域的 40 个厂商适配器：** - **网络 (8)：** Cisco IOS/NX-OS/ASA、Arista EOS、Juniper Junos、Fortinet FortiGate、Palo Alto PAN-OS、Aruba CX、Brocade FabricOS、HPE ProCurve - **服务器 (6)：** Dell iDRAC、HPE iLO、Lenovo XClarity、Supermicro IPMI、Cisco UCS、IBM Power HMC - **存储 (9)：** NetApp ONTAP、Pure Storage、Synology DSM、Dell EMC Unity + PowerStore、HPE Primera/3PAR + Nimble、IBM FlashSystem、Hitachi VSP - **虚拟化 (5)：** VMware vCenter、Nutanix Prism、Hyper-V、Proxmox VE、Citrix Hypervisor - **云 (6)：** AWS、Azure、GCP、Kubernetes、OCI、Cloudflare - **备份 (6)：** Veeam、Rubrik、Cohesity、Commvault、Veritas NetBackup、Acronis Cyber Protect - **通用资产模式** — 将每个厂商的截然不同的数据标准化为统一格式 - **跨域关联引擎** — VM → 主机 → 数据存储 → 阵列 → 备份链 - **10 个平台级报告** — 生命周期、安全态势、容量、备份合规、厂商清单、EOL/EOS、健康摘要、风险登记、云暴露、高管概览 ### v5 — 策略智能引擎 - **22 项原子安全控制** + **10 个入门模板**（网络加固、防火墙基线、服务器加固、云安全、零信任等） - **自然语言 → 策略** 通过 AI 解释器（BYO-AI：OpenAI、Anthropic 或本地 Ollama）。离线关键词匹配器始终作为安全网运行，因此 AI 只能添加控制项，但永不会删除。 - **12 个多厂商配置转换器** 为每个资产生成修复/回滚/验证命令 - **7 种导出格式：** Ansible、Terraform、PowerShell、Bash、Markdown、PDF、原始配置 - **持续合规 + 漂移检测** + 风险接受异常工作流 - **策略 GitOps** — `safecadence policy git-sync git@github.com:org/policies.git` - **合规认证报告** — 审计就绪：NIST 800-53、CIS、PCI-DSS、HIPAA、ISO 27001 - **假设模拟器**、**CVE 驱动的自动策略**、**影子 IT 检测**、**策略测试工具**、**多环境变体**、**违规 webhook** - **从不执行命令。** 生成的配置导出到您现有的变更管理流程（Ansible、Terraform、您的运行手册）。 ## 三种安装方式 | 方法 | 适用人群 | 一行命令 | |---|---|---| | **通用** | 不想费心 | `curl -fsSL https://safecadence.com/install.sh | bash` | | **Python 用户** | 已安装 Python 的开发者、系统管理员 | `pipx install safecadence-netrisk` | | **容器/k8s** | 非 Python 环境、运维、CI/CD | `docker run -p 8765:8765 -v sc-data:/data fkarim1/netrisk:latest ui --host 0.0.0.0` | 然后打开 `http://127.0.0.1:8765`，侧边栏将显示三个部分： **审计 (v2)** · **平台 (v4)** · **策略 (v5)**。 跨平台支持：macOS（Intel + Apple Silicon）、Linux（任何 glibc/musl 发行版）、Windows 通过 WSL 或 Git-Bash；物理机或虚拟机。 ## 60 秒快速演示 ``` # v2: discover every device on your LAN safecadence discover 192.168.1.0/24 # v2: audit a config file safecadence scan ~/configs/router.txt --html report.html # v5: list the 10 built-in policy templates safecadence policy templates # v5: turn plain English into a policy (with BYO-AI if a key is set) safecadence policy interpret --ai \ "Disable Telnet, enforce SSHv2, require AAA/TACACS to 10.10.10.5, enable NTP, enforce SNMPv3, send logs to 10.10.10.50, restrict mgmt to 10.10.10.0/24" # v5: evaluate a saved policy against your collected fleet safecadence policy evaluate # v5: generate the fix as an Ansible playbook safecadence policy export --format ansible --out fix.yml # Open the unified web UI (Audit + Platform + Policy in one sidebar) safecadence ui ``` ## 为何存在此工具 网络配置审计工具 — AlgoSec、Tufin、FireMon、Tenable Nessus、Qualys VMDR、 Rapid7 InsightVM、Wiz、NetBrain、Itential — 有三个共同点：每个许可证每年费用超过 50,000 美元，部署需要 1-2 周的专业服务，并且希望您的配置数据流向他们的云端。 对于这些工具提供的 90% 价值而言，架构过于复杂。大多数审计每次都会标记同样的少数问题：any/any 防火墙规则、缺失日志、默认 SNMP 团体字符串、telnet 仍然启用、操作系统已过期多年、没有备份不可变性、公共 S3 存储桶、通配符 IAM。这些可以从已收集的设备状态中进行模式匹配。它们不需要 SaaS 后端或 50,000 美元的许可证。 `safecadence-netrisk` 是开源版本。采用 MIT 许可证。100% 在操作员机器上运行。开箱即用支持 6 个基础设施领域的 40 个厂商。一条命令即可安装。无遥测、无云同步、无注册。而且它具备商业工具不具备的功能 — 毒性组合、AI 策略解读、多厂商修复生成、安全策略 GitOps。 ## 功能对比 | 功能 | safecadence-netrisk v5.x | Tenable Nessus | Qualys VMDR | Wiz | NetBrain | AlgoSec | |---|---|---|---|---|---|---| | 多域资产清单（网络/服务器/存储/虚拟化/云/备份） | ✅ 40 适配器 / 6 领域 | 部分 | 部分 | 仅云 | 仅网络 | 仅网络 | | 跨域关联（VM→主机→阵列→备份） | ✅ | ❌ | ❌ | 部分 | 部分 | ❌ | | 自然语言 → 策略（AI） | ✅ BYO-AI | ❌ | ❌ | ❌ | 部分 | ❌ | | 多厂商配置修复生成 | ✅ 12 个转换器 | ❌ | ❌ | ❌ | ✅ | 部分 | | 导出：Ansible / Terraform / PowerShell / Bash / MD / PDF | ✅ 全部 7 种 | ❌ | ❌ | ❌ | ❌ | ❌ | | 安全策略 GitOps | ✅ `policy git-sync` | ❌ | ❌ | ❌ | ❌ | ❌ | | 假设策略模拟器 | ✅ | ❌ | ❌ | ❌ | ❌ | ✅ | | 每设备 CVE 匹配（KEV 优先级） | ✅ | ✅ | ✅ | ✅ | ❌ | ❌ | | 毒性组合检测 | ✅ 10+ 种模式 | ❌ | ❌ | 部分 | ❌ | ❌ | | 合规包（SOC 2/PCI/HIPAA/NIST/CIS/ISO） | ✅ 全部六种 | ✅ | ✅ | ✅ | 部分 | ✅ | | 持续监控 + 告警 | ✅ Slack/Teams/Email/webhook | ✅ | ✅ | ✅ | ✅ | | | 100% 本地，无 SaaS | ✅ | ❌ | ❌ | ❌ | 部分 | 部分 | | Docker 容器（多架构） | ✅ amd64 + arm64 | ❌ | ❌ | ❌ | ❌ | ❌ | | **价格** | **免费，MIT 许可证** | **$3,990/年** | **$2,800+/年** | **$25,000+/年** | **$50,000+/年** | **$50,000+/年** | ## 文档 | 主题 | 位置 | |---|---| | **CLI 命令** | `safecadence --help`（v2 审计 + v5 `safecadence policy ...` 子命令） | | **API 端点** | `http://127.0.0.1:8765/api/docs`（运行 `safecadence ui` 后） | | **本地 UI 标签页** | 运行 `safecadence ui` — 侧边栏显示所有三个版本 | | **策略模板** | `safecadence policy templates` — 或阅读 `src/safecadence/policy/templates/*.yaml` | | **策略控制项** | `safecadence policy controls` — 22 项控制及其框架映射 | | **自定义控制项** | 将 YAML 放入 `~/.safecadence/custom_controls/` — 自动加载 | | **合规认证** | `safecadence policy ...` 然后 `/api/policy//attestation?format=markdown` | | **平台架构** | `docs/PLATFORM_ARCHITECTURE.md` | ## 架构 ``` safecadence-netrisk/ ├── core/ v2 vendor adapter framework, registry, schema ├── adapters/ v2 audit adapters (config-file based) ├── engines/ v2 audit rule engine (regex + absent + custom) ├── discovery/ v2 LAN scan (ARP/mDNS/TCP/SNMP/OUI/CVE/AI) ├── enrichment/ CVE + EOL data refreshers ├── reports/ HTML / Markdown / JSON / DOCX / PDF renderers ├── ai/ Provider-agnostic LLM client (OpenAI / Anthropic / Ollama) ├── platform/ v4 Device Intelligence Platform │ ├── schema.py UnifiedAsset (12 dataclasses) │ ├── adapter_base.py BaseAdapter + registry │ ├── connection_manager.py │ ├── credential_vault.py Fernet-encrypted multi-vendor creds │ ├── health_scoring.py 4-dim score + grade A-F │ ├── correlation.py Cross-domain dependency walker │ └── adapters/ 40 vendor adapters across 6 domains ├── policy/ v5 Policy Intelligence Engine │ ├── schema.py SecurityPolicy / Control / Violation / Plan │ ├── controls/ 22 atomic security controls │ ├── templates/ 10 starter policy templates (YAML) │ ├── frameworks/ NIST/CIS/PCI/HIPAA/ISO mappings │ ├── translators/ 12 vendor → config translators │ ├── exporters/ 7 output formats │ ├── interpreter.py Plain-English → policy (BYO-AI) │ ├── evaluator.py Run policy vs fleet │ ├── drift.py Regression detection │ ├── remediation.py Per-asset fix plan │ ├── simulator.py What-if rollout preview │ ├── attestation.py Auditor-ready evidence packs │ ├── git_sync.py Pull policies from a git repo │ ├── exceptions.py Risk-acceptance with auto-expiry │ ├── cve_policies.py Auto-generate from active CVEs │ ├── webhooks.py Splunk/Sentinel/Slack on violation │ ├── shadow_it.py Assets covered by no policy │ ├── testing.py Unit-test policies against fixtures │ ├── audit.py Append-only JSONL audit log │ └── store.py Local JSON store ├── server/ FastAPI server-mode API (multi-user, JWT) ├── ui/ Local single-user UI (`safecadence ui`) │ ├── app.py 40+ endpoints incl. /api/platform/* + /api/policy/* │ ├── templates/index.html Sidebar with Audit · Platform · Policy │ ├── platform_ui.py 9-tab platform dashboard │ └── policy_ui.py 7-tab policy dashboard ├── storage/ SQLite + SQLAlchemy backends ├── security/ Encrypted vault for credentials ├── cli.py v2 CLI commands └── cli_policy.py v5 `safecadence policy ...` subcommands ``` ## 运行需要帮助？ SafeCadence 提供固定范围的修复服务。我们使用与您运行相同的开源引擎。该工具是并且将保持免费 + MIT — 我们的唯一收入来自修复工作本身。 [**发送邮件至 hello@safecadence.com →**](mailto:hello@safecadence.com) ## 许可证 MIT — 参见 [LICENSE](LICENSE)。

标签：AI安全, ARP, Chat Copilot, CISA KEV, CIS Controls, CVE, HIPAA, HTTP工具, Maven构建, NIST, PCI-DSS, Python, SOC 2, Web界面, 修复建议, 动态调试, 占用监测, 多供应商支持, 威胁情报, 安全运营, 开发者工具, 开源安全工具, 扫描框架, 插件系统, 数字签名, 无后门, 无线安全, 本地部署, 漂移检测, 网络发现, 网络基础设施, 网络安全, 网络安全审计, 网络设备管理, 自动化运维, 设备识别, 请求拦截, 资产管理, 逆向工程平台, 防火墙管理, 隐私保护