apxlabs-ai/niro

GitHub: apxlabs-ai/niro

Niro 社区版是一个自动化渗透测试与安全修复工具,能对运行中的应用进行安全测试并自动提交可合并的修复 PR,帮助开发团队跟上 AI 时代的代码发布速度。

Stars: 3 | Forks: 0

Niro

# Niro 社区版 Niro 社区版对您正在运行的应用程序进行渗透测试,并提交 可供审查的修复 PR 及安全回归测试,使安全修复 像常规 pull request 一样合并。 如今,一次渗透测试从交接开始:准备运行环境、定义范围、收集 凭证和测试数据(fixtures)、等待测试结果、对结果进行分类、重现问题、编写 测试并进行修复。当它最终成为合并代码时,可能已经过去了数周或数月,并且有几个人经手了这项工作。 与此同时,代码库本身却已经向前推进了。AI 编码工具加剧了这一差距: 团队提交代码的速度远超安全审查的速度。 ## 为什么是现在 AI 让代码发布变得更快,但也更难以被信任。 | 信号 | 含义 | | --- | --- | | 85% 的人表示 AI 已将瓶颈从编写代码转移到了代码的审查和验证上 [[1]](#参考文献) | 速度不再是难点,信任才是。 | | 90% 的安全负责人对 AI 生成的软件风险表示担忧 [[2]](#参考文献) | AI 生成的代码现在已是一个安全治理问题,而不仅仅是关于开发者生产力的议题。 | ## 为什么选择 Niro Niro 将应用设置、渗透测试和修复精简为一个与代码库原生集成的闭环。 不同于多个人之间的相互交接,Niro 可以直接启动应用程序、对其进行测试, 并提交带有安全回归测试的 PR 来修复安全问题。过去可能需要数周或数月且 需要多人经手的工作,现在可以在数小时内开始合并。 ## Niro 的功能 - **构建测试套件 (harness):** 创建启动应用程序、植入凭证和数据 fixture 所需的脚本和配置, 并使其目标能够在不同语言、框架和数据库之间进行测试。 - **探测 HTTP 攻击面:** 针对您范围内的 API、Web 流程、MCP server 和 其他 HTTP endpoint,执行 OWASP Top 10 风格的风险测试。 - **在其他工具停止的地方继续适应:** 当测试遇到缺失的用户、租户、数据、 凭证、路由或功能状态时,Niro 会更新测试套件,构建所需状态, 并避免出现静默的覆盖盲区。 - **将确认的问题转化为聚焦的 PR:** 根据根本原因对相关问题进行分组, 添加安全回归测试,修补代码,并提交可供审查的 PR。 - **在您的代码运行环境中运行:** 在本地或 CI 中运行, 使用您的环境和您的凭证。 ## 信任与控制 - **数据隐私:** 应用程序流量、凭证和测试状态保留在您的 环境中;AI 推理使用您配置的提供商账户。 - **Agent 容器化:** Niro 根据 `scope.yaml` 应用内核级别的出口控制,因此渗透测试引擎只能访问批准的目标。 - **告警疲劳:** Niro 在提交 PR 之前会检查代码、测试、配置、先前接受的行为 以及现有的 PR。明确的 bug 会变成修复 PR; 有意或模糊不清的行为将被记录以供您审查。 - **失控成本:** 自定义 `niro.yaml` 以控制时间、成本和 并发。 - **遥测控制:** 使用情况遥测记录在 [TELEMETRY.md](TELEMETRY.md) 中,并且可以在 `niro.yaml` 中禁用。 需要治理、审计、合规性控制或企业部署支持? 请与 APX Labs 联系以了解 Niro 企业版。 ## 快速开始 从您的机器上对应用程序进行渗透测试: ``` git clone https://github.com//.git cd curl -fsSL https://raw.githubusercontent.com/apxlabs-ai/niro/main/install.sh | sh niro init claude "Pentest this application and create PRs." ``` 有关 Windows 安装、前置条件、CI 和其他编码 agent 的示例,请参阅[运行 Niro](docs/run-niro.md)。 ## 运行 Niro 的方式 Niro 可以在本地或 CI 中运行,并且可以针对整个应用程序、特定范围或 pull request。 - **本地:** 当您需要交互式控制时,从开发机器运行。 - **CI:** 当您需要可重复的从渗透测试到 PR 的自动化流程时,从工作流运行。 - **整个应用程序或特定范围:** 测试您选择的应用程序区域。 - **Pull request:** 在更改合并之前对其进行测试。 有关测试套件、fixture 和设置差距处理的更多信息,请参阅 [无需承担设置成本的渗透测试](docs/pentesting-without-the-setup-tax.md) 。 ## 参考文献 1. [ITPro 关于 GitLab AI 代码治理报告的报道](https://www.itpro.com/software/development/enterprises-are-shipping-so-much-ai-generated-code-they-cant-control-or-secure-it) 2. [TechRadar 关于 Salt Security AI 代码风险研究的报道](https://www.techradar.com/pro/security/nearly-all-security-bosses-are-worried-about-ai-safety-with-a-third-saying-they-still-rely-on-manually-reviewing-code-before-launch) ## 许可证 Apache License 2.0 ([LICENSE](LICENSE), [NOTICE](NOTICE))。 ## 问题
标签:DAST, DevSecOps, 上游代理, 代码安全, 恶意软件分析, 漏洞枚举, 自动化漏洞修复, 请求拦截