hamza-hafeez82/cortex
GitHub: hamza-hafeez82/cortex
一个本地优先的三阶段 CLI 代码审计工具,能快速扫描代码库中的安全漏洞、架构缺陷和依赖风险,并借助 AI 对问题进行解释。
Stars: 1 | Forks: 0
# Cortex
**一个三阶段的 CLI 工具,用于审计代码库的安全漏洞、架构问题和依赖风险——并提供 AI 驱动的解释。**
本地优先。数据不会离开你的机器。支持 Ollama、OpenAI、Anthropic 或任何兼容 OpenAI 的 API。
```
$ cortex scan ./
██████╗ ██████╗ ██████╗ ████████╗███████╗██╗ ██╗
██╔════╝██╔═══██╗██╔══██╗╚══██╔══╝██╔════╝╚██╗██╔╝
██║ ██║ ██║██████╔╝ ██║ █████╗ ╚███╔╝
██║ ██║ ██║██╔══██╗ ██║ ██╔══╝ ██╔██╗
╚██████╗╚██████╔╝██║ ██║ ██║ ███████╗██╔╝ ██╗
╚═════╝ ╚═════╝ ╚═╝ ╚═╝ ╚═╝ ╚══════╝╚═╝ ╚═╝
Stage 1 Reconnaissance ████████████████ done
Stage 2 Security ████████████████ done 12 issues
Stage 3 Architecture ████████████████ done 5 issues
CRITICAL CX-SEC-001 api_key hardcoded src/config.js:14
HIGH CX-SEC-002 SQL injection risk src/db/users.js:87
HIGH CX-DEP-001 lodash < 4.17.21 (CVE-...) package.json:12
MEDIUM CX-ARCH-001 God file detected src/app.js (892 lines)
17 issues found across 3 categories
Run `cortex explain CX-SEC-001` for an AI explanation of any issue
```
## 安装
**一键安装 (Linux/macOS):**
```
curl -fsSL https://get.cortex-edr.com | sh
```
**Homebrew:**
```
brew install hamza-hafeez82/tap/cortex
```
**Go:**
```
go install github.com/hamza-hafeez82/cortex/cmd/cortex@latest
```
**Windows:**
从 [Releases](https://github.com/hamza-hafeez82/cortex/releases) 下载最新的二进制文件。
## 快速开始
```
# 扫描当前目录
cortex scan .
# 扫描特定 repo
cortex scan ./my-project
# 获取任何问题的 AI 解释
cortex explain CX-SEC-001
# 导出报告为 JSON (用于 CI/CD)
cortex scan . --json > report.json
# 仅显示 critical 和 high 问题
cortex scan . --severity high
```
## 三个阶段
### 阶段 1 — 侦察
Cortex 在提出任何问题之前,首先会构建代码库的完整视图:文件结构、技术栈、框架检测、依赖图、HTTP 端点以及基础设施配置文件。
### 阶段 2 — 安全扫描
一套检测器会针对侦察数据运行,搜索安全漏洞:硬编码密钥、注入风险、不安全的依赖项、JWT 配置错误、CORS 问题等。
### 阶段 3 — 架构分析
Cortex 会衡量你架构决策的健康状况:巨型文件、循环依赖、缺失的错误处理、死代码以及测试覆盖率缺口。
## AI 配置
Cortex 可与任何 AI 后端配合使用。运行 `cortex config` 进行交互式设置。
**Ollama (本地,推荐):**
```
# 安装 Ollama 并 pull 模型
ollama pull llama3
# Cortex 将自动检测 Ollama
cortex config
```
**OpenAI:**
```
cortex config --provider openai --api-key sk-...
```
**Anthropic:**
```
cortex config --provider anthropic --api-key sk-ant-...
```
**任何兼容 OpenAI 的 API:**
```
cortex config --provider openai-compat --base-url https://your-api/v1 --api-key ...
```
配置存储在 `~/.cortex/config.yaml` 中。
## 问题代码
所有发现均遵循 `CX-{CATEGORY}-{NUMBER}` 格式:
| 前缀 | 类别 |
|--------|----------|
| `CX-SEC` | 安全漏洞 |
| `CX-DEP` | 依赖项问题 |
| `CX-ARCH` | 架构问题 |
请在 [`docs/issue-codes.md`](docs/issue-codes.md) 中查看完整的注册表。
## CI/CD 集成
```
# GitHub Actions 示例
- name: Run Cortex scan
run: |
curl -fsSL https://get.cortex-edr.com | sh
cortex scan . --json --severity high > cortex-report.json
- name: Upload report
uses: actions/upload-artifact@v4
with:
name: cortex-report
path: cortex-report.json
```
## 许可证
MIT — 详见 [LICENSE](LICENSE)。
由 [Hamza Hafeez](https://github.com/hamza-hafeez82) 构建 · [cortex-edr.com](https://cortex-edr.com)
标签:AI代码解释, AI风险缓解, Anthropic, CISA项目, CIS基准, Claude, CVE检测, DevSecOps, DNS 解析, DOE合作, EVTX分析, Go语言, LLM评估, Ollama, OpenAI, Petitpotam, SAST, SQL注入检测, StruQ, 上游代理, 人工智能安全, 代码安全审计, 代码审查工具, 依赖项风险, 内存规避, 合规性, 安全合规, 开发安全, 批量测试, 技术栈分析, 数据隐私, 文档结构分析, 日志审计, 本地优先, 架构分析, 盲注攻击, 硬编码密钥检测, 程序破解, 网络代理, 网络安全, 跨平台工具, 错误基检测, 隐私保护, 静态代码分析