Mehrdoost/devsecops-radar-rules

GitHub: Mehrdoost/devsecops-radar-rules

一个面向Pipeline Sentinel的社区驱动安全规则仓库,用于自动化CI/CD安全扫描。

Stars: 0 | Forks: 0

# 🧩 Pipeline Sentinel 社区规则 **面向 Pipeline Sentinel 的开源规则市场。** [![GitHub stars](https://img.shields.io/github/stars/Mehrdoost/devsecops-radar-rules?style=flat-square)](https://github.com/Mehrdoost/devsecops-radar-rules/stargazers) [![License](https://img.shields.io/github/license/Mehrdoost/devsecops-radar-rules?style=flat-square)](LICENSE) [![欢迎贡献](https://img.shields.io/badge/contributions-welcome-brightgreen?style=flat-square)](CONTRIBUTING.md)
## 📖 这是什么? 此仓库托管了用于 [Pipeline Sentinel](https://github.com/Mehrdoost/devsecops-radar) 的**社区策划的安全规则**。可以将它视为用于 CI/CD 安全的 **Nuclei 模板** —— 任何人都可以贡献规则,所有人都将受益。 Pipeline Sentinel 可以通过一条命令自动下载并使用这些规则: ``` devsecops-radar --update-rules ``` 这些规则随后存储在 `~/.devsecops-radar/community-rules/` 中,并可以在你的扫描结果旁边一同加载: ``` devsecops-radar --trivy scan.json --rules ~/.devsecops-radar/community-rules/ ``` ## 🚀 规则使用者快速入门 ### 1. 更新本地规则 ``` devsecops-radar --update-rules ``` *此操作将从本仓库克隆(或拉取)最新规则到你的机器上。* ### 2. 使用社区规则进行扫描 ``` devsecops-radar --trivy trivy.json --semgrep semgrep.json --rules ~/.devsecops-radar/community-rules/ ``` *仪表板现在将显示来自社区规则的发现以及你的扫描结果。* ### 3. (可选)使用你自己的分支 如果你维护着私有规则集,请在拉取前设置环境变量: ``` export COMMUNITY_RULES_REPO=[https://github.com/your-org/devsecops-radar-rules.git](https://github.com/your-org/devsecops-radar-rules.git) devsecops-radar --update-rules ``` ## ✍️ 贡献规则 我们欢迎所有安全专业人士分享他们的自定义检测规则。以下是添加新规则的方法: ### 1. 复刻此仓库 点击本页右上角的 **Fork** 按钮。 ### 2. 在 `rules/` 目录下创建一个新的 JSON 文件 文件名应具有描述性(例如,`cis-kubernetes.json`)。 ### 3. 使用标准 Pipeline Sentinel 格式编写你的规则 每个规则文件包含一个发现数组。每个发现必须具有以下字段: | 字段 | 描述 | 示例 | | :--- | :--- | :--- | | `tool` | 你的扫描器或规则来源的名称 | `"My Custom Scanner"` | | `target` | 发现问题所在的文件、镜像或资产 | `"deployment.yaml"` | | `id` | 唯一的规则标识符 | `"CIS-K8S-001"` | | `severity` | 以下之一:`CRITICAL`、`HIGH`、`MEDIUM`、`LOW` | `"HIGH"` | | `title` | 发现的简短描述 | `"Privileged container detected"` | | `description` | 详细解释和修复建议 | `"Containers should not run in privileged mode..."` | | `line` *(可选)* | 问题发生的行号 | `42` | **示例规则 (`rules/cis-kubernetes.json`):** ``` [ { "tool": "CIS Kubernetes Benchmark", "target": "k8s/deployment.yaml", "id": "CIS-K8S-001", "severity": "HIGH", "title": "Privileged container detected", "description": "Containers should not run in privileged mode. Set `securityContext.privileged` to `false` in your pod specifications.", "line": 15 } ] ``` ### 4. (可选)验证你的 JSON 提交前,请确保你的文件是有效的 JSON。你可以使用: ``` python -m json.tool rules/my-rule.json ``` ### 5. 提交拉取请求 提交你的更改,推送到你的复刻仓库,然后向此仓库的 `main` 分支发起一个拉取请求。我们的维护者将审查你的规则,如果符合质量标准,就会将其合并。 ## 🧪 在本地测试你的规则 在推送到社区仓库之前,你可以在本地测试你的规则: 1. 在你的机器上任意位置创建你的规则文件(例如,`my-rule.json`)。 2. 运行 Pipeline Sentinel,指向包含你文件的目录: devsecops-radar --trivy sample_trivy.json --rules /path/to/your/rule/dir/ ``` 3. Open the dashboard and verify that your finding appears in the table and charts. --- ## 📂 存储库结构 ```text devsecops-radar-rules/ ├── README.md # You are here ├── LICENSE # MIT ├── CONTRIBUTING.md # Contribution guidelines └── rules/ # All rule files go here ├── example.json ├── cis-kubernetes.json └── ... (your rules) ``` ## 🔗 实用链接 * [Pipeline Sentinel 主仓库](https://github.com/Mehrdoost/devsecops-radar) * [报告错误或请求功能](https://github.com/Mehrdoost/devsecops-radar-rules/issues) ## 📜 许可证 MIT — 详见 [LICENSE](LICENSE)。
如果你觉得某个规则有用,请在主 Pipeline Sentinel 项目上点个星 —— 这有助于社区的成长!
标签:CI/CD安全, DevSecOps, DNS解析, Homebrew安装, Llama, Pipeline Sentinel, 上游代理, 安全扫描, 开发安全运营, 开源项目, 持续集成安全, 时序注入, 社区贡献, 自动化安全扫描, 规则管理