golab-arch/synaptic-sentinel

# SYNAPTIC Sentinel **SYNAPTIC Sentinel** 在**客户内部边界**内对项目进行审计——你的代码永远不会离开你的机器——并为开发者生成内联发现，同时为合规和 CI 生成审计 _卷宗_（证据包）。 SYNAPTIC 家族的第三个产品，前身为 [SYNAPTIC Expert](https://marketplace.visualstudio.com/items?itemName=GoLab.synaptic-expert)。 ## 状态 [](https://marketplace.visualstudio.com/items?itemName=RealGoLab.synaptic-sentinel) [](https://marketplace.visualstudio.com/items?itemName=RealGoLab.synaptic-sentinel) [](./LICENSE) 🚀 **已在 Visual Studio Marketplace 上线** — [`RealGoLab.synaptic-sentinel`](https://marketplace.visualstudio.com/items?itemName=RealGoLab.synaptic-sentinel) (v0.3.3, Apache-2.0)。 🚧 **积极开发中（1.0 之前）。** 运行状态：Scout 层（5 个扫描器）、协调器、报告器（JSON/HTML/SARIF 卷宗）、CLI 和 VSCode 扩展已可用；Brain 层包含 3 个代理（分类 / 上下文 / 修复，BYOK 多供应商）。**所有包均采用 Apache-2.0 许可** — 无高级版本，无专有门槛。 在 VSCode 中安装： ``` code --install-extension RealGoLab.synaptic-sentinel ``` ## 工作原理 - **Scout 层（确定性、并行）** — 五个审计器作为本地进程运行并规范化其发现：**OpenGrep**（SAST，17 条包含污点流的精选规则）、**Gitleaks**（秘密）、**Trivy**（SCA）、**Checkov**（IaC）和 **Vibe-Detect**（AI 生成代码特有的反模式）。 - **协调器** — 通过每个扫描器的杀死开关编排各个 scout，去重发现，并将其持久化到 `colony.db` 中。 - **Brain 层（LLM，BYOK Anthropic）** — 代理对发现进行分类、上下文化并提出修复建议。你的 Anthropic API 密钥**直接**发给模型；没有 Synaptic 后端。 - **群体记忆** — Brain 层已分类且证据充分的模式，在后续扫描中会被预解决，无需消耗 LLM token。 - **交互界面** — CLI 和 VSCode 扩展（主要界面）。 ## 为何它是 vibe-coding 安全哨兵 - **Vibe-Detect scout** — 内建扫描器，专门检测 AI 生成代码的反模式：幻觉 API、看似合理但断裂的控制流、谄媚注释、无界限的 eval-of-user-input 模式。原生 TypeScript，离线运行，无需二进制文件。 - **针对 AI 辅助代码的污点分析** — `request.*` / `req.*` / `sys.argv` / `os.environ` 紧随到危险 sink（`exec`、`innerHTML`、`cursor.execute`、`open`），并包含 LLM 编码项目**实际**会使用的消毒器（`DOMPurify`、`escapeHtml`、`secure_filename`、`os.path.basename`）。 - **LLM 驱动分类** — 当 scout 触发时，Brain 层决定该发现在此代码库中是真实阳性，而不仅仅是教科书式的模式匹配。三个代理，三个视角：**分类**（真实 / 虚假 / 不确定）、**上下文**（入口 → 传播 → sink → 暴露）、**修复**（具体修复 + 代码片段）。 - **CI 原生** — 支持 SARIF 2.1.0 导出用于 GitHub 代码扫描 / Azure DevOps；`scan --fail-on ` 将扫描变为 CI 门控（超过阈值时退出码为 2）。 ## 单体仓库结构 | 包 | 许可证 | 描述 | | --------------------------- | ---------- | -------------------------------------------------- | | `packages/shared` | Apache-2.0 | 通用工具 | | `packages/core` | Apache-2.0 | 协调器、`colony.db`、类型（zod） | | `packages/scouts` | Apache-2.0 | `ScoutAgent` 契约 + 5 个扫描器 | | `packages/reporters` | Apache-2.0 | 卷宗模型 + JSON/HTML/SARIF 导出 | | `packages/cli` | Apache-2.0 | `synaptic-sentinel` CLI | | `packages/vscode-extension` | Apache-2.0 | VSCode 扩展（薄壳，spawn-CLI 架构） | | `packages/agents` | Apache-2.0 | Brain 层 — LLM 代理（分类 / 上下文 / 修复） | ## 要求 - Node.js ≥ 20 - pnpm ≥ 10 ## 快速开始 ``` pnpm install # install dependencies and link workspaces pnpm scanners:install # download the OSS scanner binaries pnpm build # build packages + bundle the extension node packages/cli/dist/index.js scan --path /path/to/your/project ``` **完整安装和使用指南：[ONBOARDING.md](ONBOARDING.md)。** ## 开发 ``` pnpm build # tsc -b (project references) + extension bundle pnpm test # full Vitest suite (unit + integration) pnpm test:unit # unit tests only (fast) pnpm lint # ESLint (flat config + typescript-eslint) pnpm typecheck # type check pnpm format # Prettier pnpm verify # per-cycle gate: format:check + lint + build + test:unit ``` ## 隐私与数据流 - **确定性扫描中，你的代码永远不会离开你的机器。** 5 个扫描器作为子进程在本地运行。 - **对于 Brain 层（可选），每个发现的代码片段直接发送到 Anthropic** — 无代理、无中间人、无 Synaptic后端。BYOK。 - **审计记忆（`colony.db`）存放在你仓库的 `.sentinel/` 目录下**（与 `agents.yaml` 一同）。你可以自行决定是否提交。_v0.3.5 或更早版本的仓库：_ 旧的 `.synaptic-sentinel/colony.db` 仍会被读取（双重读取，无自动迁移以避免数据丢失）。 ## 文档 - [ONBOARDING.md](ONBOARDING.md) — 安装、CLI 和扩展用法 - [docs/colony-db.md](docs/colony-db.md) — 信息素数据库 - [.synaptic/DESIGN_DOC.md](.synaptic/DESIGN_DOC.md) — 设计与决策日志 - `context/Synaptic_Sentinel_v0.4.md` — 主设计文档 ## 许可证 所有包均采用 **Apache License 2.0** 许可 — 参见 [LICENSE](LICENSE)。 © 2026 GoLab SpA.

标签：AI安全, Apache-2.0, Chat Copilot, DevSecOps, IDE插件, LLM集成, MITM代理, XML注入, 上游代理, 云安全监控, 代码助手, 代码安全, 企业安全, 审计工具, 扫描工具, 杀软绕过, 漏洞枚举, 秘密扫描, 网络资产管理, 自动化攻击, 软件组合分析, 静态分析