oneshot2001/PVAX

GitHub: oneshot2001/PVAX

PVAX 是一种用于物理安全漏洞评估的供应商中立开放标准,提供经过签名的便携式文件格式,将漏洞评估到修复交付的全流程打包为机器可读、可审计的单一文件。

Stars: 0 | Forks: 0

# PVAX — 物理漏洞评估交换格式 **一种用于物理安全漏洞评估及其修复控制措施的、经过签名的便携式文件格式。** [![最新发布](https://img.shields.io/github/v/release/oneshot2001/PVAX?include_prereleases&label=release&color=0a3d62)](https://github.com/oneshot2001/PVAX/releases) [![Schema](https://img.shields.io/badge/schema-JSON%20Schema%202020--12-0a3d62)](./schema/pvax.schema.json) [![验证](https://github.com/oneshot2001/PVAX/actions/workflows/validate.yml/badge.svg)](https://github.com/oneshot2001/PVAX/actions/workflows/validate.yml) [![Schema 许可证:CC0-1.0](https://img.shields.io/badge/schema-CC0--1.0-lightgrey)](./LICENSE-CC0.txt) [![工具许可证:MIT](https://img.shields.io/badge/tools-MIT-blue)](./LICENSE-MIT.txt) [![NIST CSF 2.0](https://img.shields.io/badge/aligned-NIST%20CSF%202.0-2f6f4f)](https://www.nist.gov/cyberframework) [![FEMA NSGP / DOJ SVPP](https://img.shields.io/badge/grants-FEMA%20NSGP%20%7C%20DOJ%20SVPP-7a2e2e)](#why-now) ## 目录 - [这是什么](#what-this-is) - [为何选择现在](#why-now) - [快速开始](#quick-start) — 在 30 秒内验证 `.pvax` 文件 - [非目标](#non-goals-read-this-first) - [供应商中立宣言](#the-vendor-neutrality-manifesto) - [谁为哪些内容付费](#who-pays-for-what) - [本仓库包含的内容](#what-this-repository-contains) - [联邦资金合规术语](#federal-funding-compliance-terminology-read-this-if-you-cite-pvax-in-grant-work) - [状态与路线图](#status--roadmap) - [贡献](./CONTRIBUTING.md) · [行为准则](./CODE_OF_CONDUCT.md) · [安全](./.github/SECURITY.md) · [引用此项目](./CITATION.cff) ## 这是什么 `.pvax` 文件是一个经过签名、可移植的打包文件,用于记录一笔完整的物理安全强化事务: ``` vulnerability → selected control → quoted cost → installed proof → test result → attestation ``` 当今的工作流会产出一堆支离破碎的内容:一份价值 10,000 美元的顾问 PDF、一份 Excel BOM、一个装满手机照片的文件夹、一堆零散的安装人员笔记,以及一份每个周期都得重新编写的拨款申请。而 `.pvax` 正是这一工作流中缺失的通用对象。 PVAX 将所有这些内容打包成一个机器可读、经过加密签名的文件,该文件具备以下优势: - 学区、非营利组织和宗教场所可以将其附加到 **FEMA NSGP** 和 **DOJ COPS SVPP** 拨款申请中 - 保险公司和经纪人可以将其导入,用于**承保积分**和续保 - 集成商可以将其作为**收尾交付物**与他们的工作成果一并提交 - 审计人员和 AHJ 可以进行验证,**无需咨询负责安装的集成商** ## 为何选择现在 三大驱动因素在 2026 年交汇: 1. **联邦资金与文档挂钩。** - **FEMA NSGP FY2025** — [2025 财年非营利安全拨款计划 NOFO](https://files.simpler.grants.gov/opportunities/8d1e3e07-24bf-480b-a9ff-694fdf38f052/attachments/a4ae774b-c1ef-4f5e-bb98-7b4d3d7aca24/FY_2025_NSGP_NOFO_07-28-2025_508.pdf) 列出的预期总资金为 **$274,500,000**,在 **NSGP-UA ($137.25M)** 和 **NSGP-S ($137.25M)** 之间平均分配。援助清单 97.008;机会编号 DHS-25-GPD-008-00-99。州行政机构向 FEMA 提出申请;非营利组织作为子申请人。*截至 2026 年 5 月 3 日,尚未从联邦主要来源核实 FY2026 NSGP 的拨款分配。* - **DOJ COPS SVPP FY2025** — [FY2025 SVPP 招标书](https://cops.usdoj.gov/pdf/2025ProgramDocs/svpp/nofo.pdf) 声明可提供**最高 $73,000,000** 的资金;[FY2025 获奖名单](https://cops.usdoj.gov/pdf/2025AwardDocs/svpp/award_list.pdf) 报告了** 211 项奖项,总计 $74,785,459**。最高联邦份额为 36 个月内的 $500,000,并需 25% 的当地现金配套。援助清单 16.071;机会编号 O-COPS-2025-172379。SVPP 不资助 SRO 职位。*这不是一项常规的年度拨款 — 这些数字仅针对特定的 FY 招标周期。* 这两项计划都要求提供可信的漏洞评估来证明硬化措施的合理性。而如今的申请却是每个周期都从头开始编写。 2. **CISA SSAT 已经输出了 JSON。** 联邦政府自己的 [K-12 学校安全评估工具](https://www.cisa.gov/resources-tools/programs/school-safety-and-security/k-12-school-security-assessment-tool-ssat) 已经支持机器可读的导出。PVAX 扩展了现有的、联邦认可的底层标准 — 它并不是凭空发明了一个新标准。 3. **NIST 已经融合了网络与物理安全指南。** [NIST SP 800-82 Rev. 3](https://csrc.nist.gov/pubs/sp/800/82/r3/final) 于** 2023 年 9 月**发布,将 ICS 指南扩展到了运营技术领域 — 包括与物理环境交互的系统,如物理访问控制系统和楼宇自动化系统。PVAX 使用 [NIST CSF 2.0 Core](https://www.nist.gov/cyberframework) 作为其治理基线,并使用 [NIST SP 800-53 Rev. 5](https://csrc.nist.gov/pubs/sp/800/53/r5/upd1/final) 的物理和环境保护 (PE) 控制措施作为其物理安全控制分类。当 CUI 或联邦合同数据在范围内时,适用 NIST SP 800-171 Rev. 3。从第一天起就与联邦标准保持一致。 ## 快速开始 在 30 秒内根据 schema 验证工作示例 — 无需克隆: ``` # 获取 schema 和已完成的 elementary-school 示例 curl -sLO https://raw.githubusercontent.com/oneshot2001/PVAX/main/schema/pvax.schema.json curl -sLO https://raw.githubusercontent.com/oneshot2001/PVAX/main/examples/elementary-school.pvax.json # Validate npx -y ajv-cli@5 validate \ --spec=draft2020 --strict=false \ -c ajv-formats \ -s pvax.schema.json \ -d elementary-school.pvax.json # → elementary-school.pvax.json valid ``` 或者克隆并运行完整的仓库本地检查: ``` git clone https://github.com/oneshot2001/PVAX.git cd PVAX npx -y ajv-cli@5 validate \ --spec=draft2020 --strict=false \ -c ajv-formats \ -s schema/pvax.schema.json \ -d 'examples/*.pvax.json' ``` 每次推送到 `main` 分支以及每个 pull request 都会在 CI 中运行相同的这两个命令 — 请参阅上方的 **验证** 徽章。 ## 非目标(请先阅读此部分) PVAX **不是**: - 供应商目录或产品推荐引擎 - 将用户引导至特定摄像头、门禁或警报品牌的前端系统 - 持牌物理安全顾问的替代品 - 旨在让拨款撰写者感觉自己很有效率的评分标准 - 通过推荐费或“首选合作伙伴”投放位置来变现的工具 上述每一种失败模式都会将其变成供应商捕获的走过场。如果 PVAX 变成了那样,它将一文不值,而其他人自然会去构建真正有用的东西。 ## 供应商中立宣言 对于任何自称为 PVAX 实现的工具,以下规则是不可协商的: 1. **Schema 属于公共领域。** 任何人都可以实现它。无需许可,无需版税,无需注册。 2. **参考工具在 MIT 许可下开源。** 生成和验证 `.pvax` 文件的代码是可审计的。 3. **推荐由方法驱动,而非由供应商驱动。** 控制措施的推荐来源于方法论(CPTED、分层防御、CARVER 评分、NIST CF 映射),而不是 SKU 目录。 4. **不存在推荐返利经济。** 没有供应商为投放位置付费。也没有能够改变推荐结果的“高级层级”。 5. **利益冲突在文件内部披露。** 如果评估者销售的产品出现在推荐的控制措施中,评估结果会带有 `coi_disclosed` 标志进行签名,并明确指出冲突的具体内容。 6. **供应商数据来源于公开渠道或用户提供的输入。** 制造商的规格、价格和兼容性数据是在用户请求时才进行查找的。PVAX 本身不存储任何营销话术。 7. **追踪的是结果,而不是采用率。** 该产品的成功衡量指标是赢得的拨款和避免的事故,而不是完成的评估数量。 如果你 fork 了 PVAX 并打破了这些规则,你发布的就只是一种不同的格式。请不要再称之为 PVAX。 ## 谁为哪些内容付费 | 用户 | 费用 | 他们得到的内容 | |---|---|---| | 独立评估员(小型顾问、退休执法人员、志愿者) | 免费 | 移动现场勘察应用、schema 验证器、PDF/JSON 导出 | | 集成商公司 | $299/月/席位 | 品牌化的收尾交付物、多项目组合、客户门户共享链接 | | 学区 / 非营利组织 / 多分支机构企业 | $999/月/组织 | 拨款组合追踪器、续保日历、同行基准匿名分析、审计资料导出 | | 保险公司 / MGA / 经纪人 | 按项目授权许可 | 承保数据源、保费积分认证 API、索赔防御性证据 | 免费层级的存在是为了确保 schema 能够生存下去。而付费层级建立在它之上,且不会对其造成污染。 ## 本仓库包含的内容 - [`schema/pvax.schema.json`](./schema/pvax.schema.json) — **正式的 JSON Schema 2020-12 定义。** 这就是 `pvax-validate` 所依据进行校验的内容。能顺利通过示例文件的验证。 - [`SPEC.md`](./SPEC.md) — 以人类可读的散文形式编写的 schema 规范。逐字段进行说明。扩展了 CISA SSAT JSON,引用了 NIST CSF 2.0 核心控制措施,支持 C2PA 签名的媒体。 - [`METHODOLOGY.md`](./METHODOLOGY.md) — 评估框架。CPTED + PVAX 分层防御 (4D) + CARVER + 主动射击者时间轴变量 + 网络物理融合。在架构设计上坚持供应商中立。 - [`appendices/state-grants.md`](./appendices/state-grants.md) — 15 个州的学校安全拨款计划,包含主要来源的 URL 和验证置信度标志。 - [`examples/elementary-school.pvax.json`](./examples/elementary-school.pvax.json) — 一个经过实测的 K-12 评估示例,可通过该 schema 的验证。 - [`tools/pvax-validate/`](./tools/pvax-validate/) — 参考命令行验证器 (Node + ajv, MIT)。检查 JSON Schema 一致性 + `addresses_findings` 交叉引用。退出代码 `0`/`1`。包含三个验收测试用例。 - [`distribution-and-pricing.md`](./distribution-and-pricing.md) — 上市策略说明(真正的买家到底在哪里;反正不在 X 上)。 - [`CONTRIBUTING.md`](./CONTRIBUTING.md) — 如何做出贡献、来源层级规则、供应商中立性要求。 - [`CHANGELOG.md`](./CHANGELOG.md) — 完整的版本历史。 ## 联邦资金合规术语(如果你在拨款工作中引用 PVAX,请阅读此部分) PVAX 使用**精确的**联邦资金合规术语,而非非正式的行业简称。具体而言: - **“第 889 条”**指的是 FY2019 NDAA(公法 115-232)的第 889 条,该法案与实施法规相结合,对涵盖的电信和视频监控设备制定了联邦奖励和采购限制。其约束性文件包括: - [2 CFR §200.216](https://www.ecfr.gov/current/title-2/subtitle-A/chapter-II/part-200/subpart-C/section-200.216) — 联邦拨款禁止为涵盖的设备承担义务或支出资金 - [FAR 52.204-24](https://www.acquisition.gov/far/52.204-24), [52.204-25](https://www.acquisition.gov/far/52.204-25), [52.204-26](https://www.acquisition.gov/far/52.204-26) — 联邦承包商的声明与禁令 - [FCC 涵盖清单](https://docs.fcc.gov/public/attachments/DA-21-309A1.pdf) — 涵盖设备/服务的权威清单,[定期更新](https://docs.fcc.gov/public/attachments/DA-26-278A1.pdf) - **PVAX 绝不使用“non-NDAA”作为合规术语** — 它只是一种非正式的简称。PVAX 取而代之使用的是“受第 889 条 / FAR / 2 CFR §200.216 / FCC 涵盖清单限制的涵盖电信或视频监控设备”。 - **[FCC 安全可信通信网络报销计划](https://docs.fcc.gov/public/attachments/DA-25-741A2.pdf)**(“拆除并替换”)是一项**独立且范围狭窄的计划**,面向客户数量不超过 1000 万的合格高级通信提供商。它不是一项普遍意义上的学校、非营利组织或公共安全设备更换拨款。请勿将两者混为一谈。 - **2 CFR §200.313** 规定了由联邦政府资助的设备(摄像头、访问控制系统、无线电、紧急报警系统、服务器)的设备管理、盘点和处置要求。 ## 状态与路线图 **1.0 版本之前 — schema、方法论和宣言仍可能根据以下因素进行修订:** - 根据规范进行的真实评估(这是唯一有意义的测试) - FEMA NSGP / DOJ COPS SVPP 申请审查人员的反馈 - ASIS 物理资产保护标准(2026 年)对齐工作 - ONVIF / C2PA 媒体来源证明集成(正在等待稳定的接口) **v0.4 候选特性:** `vocabulary/` 中的受控词汇表文件(目前作为枚举内联在代码中);针对大麻、码头、马术、RTCC 和 BWC 行业的垂直增补内容;全美 50 个州的拨款覆盖范围;部落民族的学校安全计划;`pvax-validate` 的 Node 命令行工具;`pvax-builder` 的移动优先 PWA;C2PA 签名的 `.pvax` 信封。 **如何参与:** 📐 [提出 schema 修改建议](https://github.com/oneshot2001/PVAX/issues/new?template=schema-proposal.yml) · 🧭 [方法论反馈](https://github.com/oneshot2001/PVAX/issues/new?template=methodology-feedback.yml) · ⚖️ [供应商中立性问题](https://github.com/oneshot2001/PVAX/issues/new?template=vendor-neutrality-concern.yml) · 🐛 [Bug 报告](https://github.com/oneshot2001/PVAX/issues/new?template=bug-report.yml) - 💬 [讨论区](https://github.com/oneshot2001/PVAX/discussions),用于开放式提问和关于“这是否在范围内?”的辩论 - 🔐 安全发现 — 请参阅 [SECURITY.md](./.github/SECURITY.md)(请使用私人邮件,勿在公开问题中提交) ## 维护者说明 PVAX 作为一项独立的开放标准进行维护。参考工具(`pvax-builder`、`pvax-validate`)由 Matthew Visher 负责运营。与其他物理安全产品相关的利益冲突已在 [`distribution-and-pricing.md`](./distribution-and-pricing.md) 中披露。PVAX 的推荐绝对不会流经任何供应商渠道合作伙伴。
标签:JSON Schema, MITM代理, 合规与审计, 数据交换标准, 数据格式, 文档结构分析, 物理安全评估, 联邦合规, 自定义脚本