NotReeceHarris/mono-sast

GitHub: NotReeceHarris/mono-sast

mono-sast 是一个统一编排并标准化多个开源 SAST 扫描器输出的单体工具,旨在简化多工具安全分析流程。

Stars: 0 | Forks: 0

![mono-sast](https://s6.imgcdn.dev/YdTyFy.png) mono-sast(*单体静态应用安全测试工具*)是一个单体工具,可对您的代码库运行多个开源 SAST 扫描器,并将输出标准化为多种格式,完全可配置以支持原生工具配置。 ``` docker run --rm -v "$(pwd):/target:ro" ghcr.io/notreeceharris/mono-sast ``` ## 扫描器 扫描器覆盖进度。已勾选的扫描器处于激活状态并产生输出;未勾选的为计划中或进行中。 | 扫描器 | 语言 | 已实现 | |---|---|---| | [microsoft/DevSkim](https://github.com/microsoft/DevSkim) | 多语言静态代码分析器 |
  • - [X]
| | [github/codeql](https://github.com/github/codeql) | GitHub 语义分析引擎 |
  • - [X]
| | [opengrep/opengrep](https://github.com/opengrep/opengrep) | OSS Semgrep 分支 |
  • - [X]
| | [semgrep/semgrep](https://github.com/semgrep/semgrep) | 多语言模式匹配 |
  • - [X]
| | [bearer/bearer](https://github.com/bearer/bearer) | 隐私与安全扫描 |
  • - [X]
| | [SonarQube CE](https://www.sonarsource.com/products/sonarqube) | 社区版 |
  • - [ ]
| | [aquasecurity/trivy](https://github.com/aquasecurity/trivy) | 漏洞与错误配置 |
  • - [X]
| | [gitleaks/gitleaks](https://github.com/gitleaks/gitleaks) | 密钥检测 |
  • - [ ]
| | [betterleaks/betterleaks](https://github.com/betterleaks/betterleaks) | 密钥检测 |
  • - [ ]
| | [boostsecurityio/poutine](https://github.com/boostsecurityio/poutine) | 构建流水线供应链漏洞扫描器 |
  • - [ ]
| 扫描器 | 语言 | 已实现 | |---|---|---| | [facebook/infer](https://github.com/facebook/infer) | `Java` `C` `C++` `ObjC` `Erlang` `Swift` `Hack` |
  • - [ ]
| | [rust-lang/rust-clippy](https://github.com/rust-lang/rust-clippy) | `Rust` |
  • - [ ]
| | [joernio/joern](https://github.com/joernio/joern) | `C` `C++` `Java` `二进制` `Javascript` `Python` `Kotlin` |
  • - [ ]
| | [pycqa/bandit](https://github.com/PyCQA/bandit) | `Python` |
  • - [X]
| | [securego/gosec](https://github.com/securego/gosec) | `Go` |
  • - [X]
| | [presidentbeef/brakeman](https://github.com/presidentbeef/brakeman) | `Ruby` |
  • - [X]
| | [spotbugs/spotbugs](https://github.com/spotbugs/spotbugs) | `Java` |
  • - [X]
| | [thesp0nge/dawnscanner](https://github.com/thesp0nge/dawnscanner) | `Ruby` |
  • - [ ]
| | [phpstan/phpstan](https://github.com/phpstan/phpstan) | `PHP` |
  • - [X]
| | [david-a-wheeler/flawfinder](https://github.com/david-a-wheeler/flawfinder) | `C` `C++` |
  • - [X]
| | [cppcheck-opensource/cppcheck](https://github.com/cppcheck-opensource/cppcheck) | `C` `C++` |
  • - [X]
| | [ajinabraham/njsscan](https://github.com/ajinabraham/njsscan) | `Node.js` |
  • - [X]
| | [quay/clair](https://github.com/quay/clair) | `容器` |
  • - [ ]
| ## 贡献 扫描器新增和输出标准化是最有价值的贡献。如果您维护或经常使用此处未列出的 SAST 工具,请开启 Issue 或 PR。 完整指南请参见 [contributing.md](contributing.md)。 ## 许可证 GPL-3.0。您可以自由使用、分叉、嵌入,但若作为 SaaS 出售,至少该感到一丝愧疚。
标签:DevSecOps, FTP漏洞扫描, URL发现, 上游代理, 代码分析, 代码安全, 凭证管理, 多语言支持, 安全扫描, 安全检测, 安全测试框架, 安全编排, 工具集成, 开源安全工具, 时序注入, 标准化输出, 模式匹配, 漏洞枚举, 秘密扫描, 统一编排, 自动化资产收集, 请求拦截, 软件组成分析, 逆向工程平台, 静态应用安全测试