Anders-Sec/foundry

# Foundry **面向 SOC 团队管理自定义检测和事件响应文档的开源核心平台。** ## 什么是 Foundry？ Foundry 是一个为 SOC 团队构建的检测工程和事件响应文档平台。它提供了一个统一的管理面板，用于管理自定义检测和 IR runbook —— 从编写和版本控制，到验证和部署到您的 SIEM 或 EDR。Foundry 旨在消除在没有专门检测工程团队的情况下运行检测工程计划的操作开销，为分析师提供工具来构建、测试和维护一个动态的检测库以及结构化的 IR 文档。 ## 它是为谁准备的？ Foundry 是为 SOC 团队、安全分析师和安全领域的个人构建的，他们需要更广泛的检测覆盖范围和结构化的 IR 文档，而无需承担专门检测工程职能的成本。如果您管理自定义 SIEM 规则、编写 IR runbook，或者在努力使您的检测库与您的环境保持同步，Foundry 就是为您量身打造的。 ## 开源核心模型 **平台**采用 Apache 2.0 许可证 —— 可免费使用、修改、重新分发和商业托管。检测内容和 IR 文档内容是独立的知识产权，不与平台源代码捆绑。 开源版本附带了一组检测和 IR 模板的**入门套件**，以帮助您快速启动。商业客户将获得覆盖范围更广的精选内容源，并随着威胁形势的发展持续更新。两个版本都运行在相同的平台代码上 —— 功能首先在商业版中发布，然后按照规定的节奏流向开源版本。 有关完整的理由和内容边界定义，请参阅 [ADR-0001](docs/adr/0001-license-apache-2-open-core.md) 和 [ADR-0008](docs/adr/0008-open-core-boundary.md)。 ## 项目状态 **1.0 版之前 / 早期开发阶段。** Foundry 尚未准备好投入生产环境。API、数据模型和部署架构随时可能发生更改。请暂勿在生产环境中运行此项目。 ## 快速开始 本地开发引导程序正在开发中 —— 请参阅阶段 1。当本地开发环境（Docker Compose、Makefile、pre-commit 钩子）可用时，将更新本节内容。 ## 架构概述 Foundry 采用 FastAPI 后端和 React 前端，由 PostgreSQL 提供支持，并通过 Helm charts 部署到 Kubernetes。GitOps 由 Argo CD 管理 —— CI 构建并推送容器镜像，然后将不可变镜像 tag 提交到单独的 `foundry-gitops` 仓库，由 Argo CD 进行协调。请参阅 [docs/adr/](docs/adr/) 中的 ADR，了解每个架构决策背后的完整理由。 ## 贡献 有关贡献指南、提交约定和 pull request 流程，请参阅 [CONTRIBUTING.md](CONTRIBUTING.md)。 ## 安全 要报告安全漏洞，请遵循 [SECURITY.md](SECURITY.md) 中的流程。请勿针对安全报告开启公开的 GitHub issue。 ## 许可证 平台源代码在 [Apache License, Version 2.0](LICENSE) 下授权。 包含的入门内容（检测规则和 IR 文档模板）可能附带不同的许可证。入门内容的许可证将在未来阶段添加内容目录时予以记录。有关开源核心内容边界的定义，请参阅 [ADR-0008](docs/adr/0008-open-core-boundary.md)。

标签：AMSI绕过, Apache 2.0, API, EDR, FTP漏洞扫描, GPT, IR, IR Runbooks, SOC分析师, URL发现, 事件响应手册, 威胁情报, 威胁检测, 子域名突变, 安全工程, 安全文档, 安全检测, 安全编排, 安全运营, 安全运营中心, 库, 应急响应, 开发者工具, 开放核心, 开源, 扫描框架, 数据模型, 测试用例, 漏洞管理, 私有化部署, 网络安全, 网络映射, 脆弱性评估, 自定义脚本, 规则管理, 请求拦截, 逆向工具, 防御规避, 隐私保护