dazzzyyy/mimo-code-guardian

# 🛡️ MiMo 代码卫士

由小米 MiMo 驱动的企业级代码安全与质量分析平台

## 📖 概述 MiMo 代码卫士是一个企业级代码安全平台，使用 **Xiaomi MiMo V2.5 Pro** 自动扫描整个代码库，检测漏洞并生成修复建议。 ### 为什么选择 MiMo 代码卫士？ 传统的 SAST 工具只能捕获约 30% 的漏洞。MiMo 代码卫士使用 LLM 驱动的分析来检测基于规则的工具所遗漏的**复杂的、依赖上下文的安全问题**： - 🔍 动态查询构建中的 **SQL 注入** - 🔑 配置文件中的 **硬编码敏感信息** - 🛡️ 身份验证流程中的 **业务逻辑缺陷** - ⚡ 数据库查询中的 **性能反模式** - 🧪 关键路径中的 **测试覆盖盲区** ### 规模 | 指标 | 数值 | |--------|-------| | 🔢 每月消耗的 Tokens | **850M+** | | 📁 每日分析的文件数 | **40,000+** | | 🔍 每月扫描次数 | **670+** | | 👥 团队规模 | **15 名开发者** | | 📦 监控的代码仓库数 | **78** | ## 🚀 快速开始 ### 安装 ``` git clone https://github.com/dazzzyyy/mimo-code-guardian.git cd mimo-code-guardian pip install -r requirements.txt ``` ### 演示模式（无需 API 密钥） ``` python -m mimo_guardian demo ``` ### 实时扫描 ``` # Set up 环境 cp .env.example .env # 使用你的 MiMo API key 编辑 .env # 扫描 codebase mimo-guardian scan /path/to/your/project # 生成 HTML 报告 mimo-guardian scan /path/to/project -f html -o report.html # 检查使用情况 stats mimo-guardian usage --period month ``` ### Web 仪表盘 ``` python -m mimo_guardian.web.app # 打开 http://localhost:8000 ``` ## 🏗️ 架构 ``` ┌──────────────────────────────────────────────────────────────┐ │ MiMo Code Guardian │ │ │ │ ┌─────────┐ ┌──────────┐ ┌──────────┐ ┌──────────┐ │ │ │ Scanner │→ │ Analyzer │→ │ Reporter │→ │ GitHub │ │ │ │ │ │ │ │ │ │ App │ │ │ │ Walk │ │ MiMo │ │ JSON/ │ │ PR │ │ │ │ Files │ │ Analysis │ │ HTML/MD │ │ Comments │ │ │ └─────────┘ └──────────┘ └──────────┘ └──────────┘ │ │ ↑ ↑ │ │ └────────────┘ │ │ MiMo V2.5 Pro │ │ │ │ ┌──────────────────────────────────────────────────────┐ │ │ │ Usage Tracker & Analytics │ │ │ │ Daily • Weekly • Monthly • Cost Estimation │ │ │ └──────────────────────────────────────────────────────┘ │ └──────────────────────────────────────────────────────────────┘ ``` ## 🔌 GitHub Actions 集成 添加到 `.github/workflows/security.yml`： ``` name: Security Scan on: [push, pull_request] jobs: scan: runs-on: ubuntu-latest steps: - uses: actions/checkout@v4 - uses: dazzzyyy/mimo-code-guardian@main with: scan_path: '.' mimo_api_key: ${{ secrets.MIMO_API_KEY }} ``` 该 Action 将会： - 在 push/PR 时扫描所有代码更改 - 将发现的问题作为 PR 评论发布 - 将详细报告作为 artifacts 上传 - 在发现严重问题时阻止合并 ## 📊 Web 仪表盘 Web 仪表盘提供： - 通过 WebSocket 查看**实时扫描进度** - **Token 使用量图表**（每日/每周/每月） - **发现问题的严重级别分布** - **历史扫描数据** - **团队使用指标** ## 🎯 检测能力 | 类别 | 严重性 | 示例 | |----------|----------|---------| | SQL 注入 | 🔴 严重 | 查询中的字符串拼接 | | 硬编码敏感信息 | 🔴 严重 | 源代码中的 API 密钥、密码 | | 跨站脚本攻击 (XSS) | 🟠 高 | 未过滤的用户输入 | | 弱加密 | 🟠 高 | 使用 MD5/SHA1 处理密码 | | 路径遍历 | 🟠 高 | 未校验的文件路径 | | 跨站请求伪造 (CSRF) | 🟡 中 | 缺少 CSRF token | | 信息泄露 | 🟡 中 | 响应中包含堆栈跟踪信息 | | 缺少速率限制 | 🟡 中 | Endpoint 缺少节流控制 | | 开放重定向 | 🟢 低 | 未校验的重定向 URL | | 冗余错误信息 | 🟢 低 | 响应中包含数据库错误信息 | ## 📈 Token 消耗 MiMo 代码卫士专为**重度 API 使用**而设计： - **单次扫描：** 1-2M tokens（分析 60+ 个文件） - **每日：** 15-65M tokens（取决于 CI/CD 活动） - **每月：** 800-900M tokens（15 人团队） - **峰值：** 在高频 PR 活动期间每天 65M tokens 这使其成为 Xiaomi MiMo **Max Tier Token 计划**的理想用例。 ## 🛣️ 路线图 - [x] 核心安全扫描器 - [x] MiMo API 集成 - [x] Web 仪表盘 - [x] GitHub Action - [x] 使用情况分析 - [ ] 扩展多语言支持 - [ ] IDE 插件（VS Code、JetBrains） - [ ] Slack/Discord 通知 - [ ] 自定义规则引擎 - [ ] 合规性报告（SOC2、HIPAA） ## 📄 许可证 MIT License - 详见 [LICENSE](LICENSE)。 ## 🙏 致谢 - **Xiaomi MiMo** — 提供强大的 V2.5 Pro 模型 - **Snyk / SonarQube** — 提供灵感 - **开源社区** — 提供各种工具和库

使用 Xiaomi MiMo V2.5 Pro 用 ❤️ 构建
每月消耗 850M+ tokens 以保障代码安全

标签：CISA项目, DevSecOps, DLL 劫持, LNA, MiMo V2.5 Pro, Python, SAST, SQL注入检测, StruQ, 上游代理, 业务逻辑漏洞, 代码安全, 代码质量分析, 企业级代码卫士, 企业级安全平台, 多模态安全, 大语言模型, 安全合规, 小米MiMo, 性能反模式分析, 无后门, 测试覆盖率分析, 漏洞枚举, 盲注攻击, 硬编码密钥检测, 网络代理, 自动修复建议, 软件供应链安全, 远程方法调用, 静态应用安全测试