grepstrength/swiss-cheese-software

# 🧀 奶酪软件  **奶酪软件**是一个故意设计存在漏洞的多语言应用程序，专用于测试供应链安全扫描器、依赖审计工具和SBOM生成器。每个安全漏洞都是刻意设置的。 ## 问题何在？ **一切。毫不夸张...一切都有问题。** - 🔑 到处硬编码的API密钥、令牌和凭证 - 📦 存在已知关键CVE漏洞的过时依赖 - ⚰️ 已停止维护多年的淘汰组件 - 🐍 使用原型污染相关包的Python后端 - ⚛️ 已落后几个*闰年*的React前端 - 🦀 采用1.0版本前crate的Rust数据流水线 - 🔓 明文存储的数据库凭证暴露无遗 - 🎯 这种代码库正是应用安全工程师的就业保障 ## 项目结构 ``` swiss-cheese-software/ ├── frontend/ # React app (Node.js/npm) — circa 2019 │ └── package.json ├── backend/ # Python Flask API with a convoluted hell of dependencies │ └── requirements.txt ├── data-pipeline/ # Rust batch processor with crates almost as old as the language itself │ └── Cargo.toml ├── scripts/ # Deployment scripts that might contain a (not very) secret or two │ ├── deploy.sh │ └── config.py └── .env # "Don't worry, it's in .gitignore" (it's not) ``` ## 用途 本仓库作为[RiskwareSupplyChain](https://riskwaresupplychain.com)的测试目标——该供应链风险情报工具可扫描依赖项中的CVE漏洞、公开利用代码、供应链篡改及硬编码密钥。 ## 免责声明 **切勿部署此应用。** 它故意存在不安全因素，仅用于安全测试目的。仓库中所有密钥均为伪造且无效...至少我是这么认为的。 ## 许可协议 MIT许可证——实在想不出谁会试图将其私有化。 *由[开发者团队](https://grepstrength.dev)凭借可疑的判断力构建*

标签：CVE测试, Flask, GNU通用公共许可证, GraphQL安全矩阵, IPv6支持, MITM代理, Node.js, Python, React, Rust, SBOM生成, Syscalls, 依赖审计, 依赖漏洞, 凭证泄露, 可视化界面, 后端开发, 安全扫描器, 安全测试, 攻击性安全, 故意脆弱应用, 数据管道, 无后门, 暗色界面, 测试工具, 漏洞应用, 硬编码凭证, 网络安全, 网络流量审计, 软件工程, 过时依赖, 逆向工具, 隐私保护