cataam-security/cataam

开源安全工具与合规知识库 — 由 Cataam 团队维护。

**Cataam** 是一个面向首席信息安全官、注册会计师和企业的商业 GRC、iASM 和 BAS 平台。本仓库是其伴随的开源项目 — 与安全社区共享实用的脚本、CVE 检测工具、加固指南和合规模板。 ## 本仓库内容 | 文件夹 | 用途 | 适用人群 | |--------|---------|--------------| | [`/tools`](./tools/) | 加固脚本、CVE 扫描器、云安全态势检查、TLS 审计 | DevOps、SecOps、合规工程师 | | [`/cve-lab`](./cve-lab/) | CVE 检测与缓解脚本，在重大漏洞披露后 48 小时内更新 | 事件响应人员、SRE | | [`/knowledge`](./knowledge/) | CIS Benchmark 指南、ISO 27001 控制项映射、合规速查表 | 安全分析师、审计员 | | [`/templates`](./templates/) | ISO 27001 风险评估、SOC 2 证据清单、HIPAA 安全规则模板 | 合规官、首席技术官 | | [`/wiki`](./wiki/) | 安全术语表和 GRC 解释 | 所有人 | ## 快速开始 ``` git clone https://github.com/cataam-security/cataam.git cd cataam ``` ``` chmod +x cve-lab/CVE-2021-44228/log4shell-detector.sh sudo cve-lab/CVE-2021-44228/log4shell-detector.sh ``` **按照 CIS Benchmark 加固 Linux 服务器：** ``` pip install -r tools/requirements.txt chmod +x tools/env-hardener.sh sudo tools/env-hardener.sh --dry-run --report /tmp/cis-report.txt ``` **审计 TLS 配置（PCI DSS 4.0 要求 4.2）：** ``` python tools/ssl-tls-audit.py --host your-domain.com --pci ``` **检查 AWS 云安全态势（CIS AWS Foundations v1.5）：** ``` python tools/cloud-posture-check.py --profile your-aws-profile --output posture.json ``` ## 工具 ### [`env-hardener.sh`](./tools/env-hardener.sh) 将 CIS Benchmark Level 1 和 Level 2 加固检查应用于 Linux 服务器。将每个发现映射到一个 CIS 控制 ID，并输出易于阅读的合规报告。 **适用框架：** CIS Benchmark Linux v3.0, ISO 27001 A.8 ### [`cve-scanner.py`](./tools/cve-scanner.py) 查询 NVD API 以获取影响特定产品/版本的 CVE，使用 CVSS v3 评分，并将每个发现映射到 ISO 27001 附录 A 控制项和 SOC 2 标准。 **适用框架：** ISO 27001:2022 A.12.6, SOC 2 CC7 ### [`log4shell-detector.sh`](./cve-lab/CVE-2021-44228/log4shell-detector.sh) 扫描主机上的易受攻击的 Log4j 版本 — 包括 WAR/EAR 归档中嵌套的 JAR 文件、运行中的 JVM 进程以及类级别的检查。 **CVE：** CVE-2021-44228 (CVSS 10.0 严重) ### [`cloud-posture-check.py`](./tools/cloud-posture-check.py) 根据 CIS AWS Foundations Benchmark v1.5 审计 AWS 环境。检查 IAM、S3、安全组、CloudTrail、VPC Flow Logs 和 KMS 配置。 **适用框架：** CIS AWS Foundations v1.5, SOC 2 CC6, ISO 27001 A.9 ### [`ssl-tls-audit.py`](./tools/ssl-tls-audit.py) 审计 TLS 版本、密码套件和证书有效性。标记过时的协议（SSLv3、TLS 1.0/1.1）和弱密码套件。 **适用框架：** PCI DSS 4.0 要求 4.2, SOC 2 CC6.7, ISO 27001 A.8.24 ## 知识库 - [CIS Benchmark Linux 加固指南](./knowledge/cis-benchmark-linux.md) — Linux 服务器实用加固参考 - [ISO 27001:2022 控制项映射](./knowledge/iso27001-controls.md) — 附录 A 控制项及其实施指南 - [多框架合规映射](./knowledge/compliance-mapping.md) — CIS、ISO 27001、SOC 2、HIPAA 和 PCI DSS 之间的交叉参考 ## 模板 即用型合规文档模板： - [ISO 27001 风险评估](./templates/iso27001-risk-assessment.md) - [SOC 2 证据清单](./templates/soc2-evidence-checklist.md) - [HIPAA 安全规则清单](./templates/hipaa-security-rule-checklist.md) ## 如何贡献 欢迎提交拉取请求。对于新工具，请： 1. 将发现映射到至少一个合规框架 2. 在相关文件夹的 README 中添加使用文档 3. 保持工具依赖轻量化并注释充分 完整指南请参见 [CONTRIBUTING.md](./CONTRIBUTING.md)。 ## 关于 Cataam [Cataam](https://cataam.com) 是一个为首席信息安全官、注册会计师和企业构建的 GRC、iASM 和 BAS 平台。它提供持续控制监控、自动化证据收集和攻击面管理 — 使合规成为一项运营输出，而非周期性的审计活动。 这个开源仓库是 Cataam 对安全社区的贡献。 ## 许可证 MIT — 详见 [LICENSE](LICENSE)。可自由使用、分叉和构建。

标签：Anthropic, CIS基准, Cutter, DevOps安全, GRC, HIPAA, ISO 27001, SOC 2, TLS审计, 二进制发布, 合规知识, 合规管理, 安全合规, 安全基准, 安全模板, 开源工具, 治理风险合规, 系统加固, 网络代理, 网络安全, 脚本工具, 逆向工具, 防御加固, 隐私保护