MegaZegan/CloudPolicyLens

# CloudPolicyLens CloudPolicyLens 是一个用于审查 IAM 风格 JSON 策略的防御性云安全项目。它能够标记出风险权限、解释其重要性，并提供适用于安全审查和拉取请求的实用补救建议。 ## 检测范围 - 通过 `Action: "*"` 或通配符服务实现的完全管理访问权限。 - 敏感操作上的通配符资源。 - 允许语句中的公开或外部主体。 - 缺乏严格资源和服务限制的 `iam:PassRole`。 - 缺少 MFA 条件的敏感身份操作。 - 使用 `NotAction` 的 `Allow` 语句，这可能导致危险的宽泛授权。 ## 演示 ``` python -m venv .venv .\.venv\Scripts\Activate.ps1 pip install -e . pytest cloudpolicylens scan samples\risky-policy.json pytest ``` ## 示例 ``` cloudpolicylens scan samples\risky-policy.json --json ``` 这将输出机器可读的检测结果，可以附加到 CI 或拉取请求审查中。 ## 访谈要点 - 云安全审查需要可解释性，而不仅仅是通过/失败的检查。 - 该分析器独立处理每个语句，因此审查人员可以指出策略的确切位置。 - 规则是确定性的，并且易于扩展以适应组织特定的防护措施。 - 这是一个安全的防御性工具：它仅分析本地 JSON 文件。

标签：CI/CD安全集成, DevSecOps, Homebrew安装, IAM策略审查, JSON策略分析, Python安全工具, Streamlit, 上游代理, 修复建议, 公共权限检测, 安全合规检查, 安全审查, 安全扫描工具, 权限风险检测, 访问控制, 身份和访问管理, 逆向工具, 通配符资源审计