ne0k1r4/shadowci

# shadowci 一款简单、快速的 git 仓库安全扫描器。它并行运行多项检查（secrets、基于 AST 的 SAST、Dockerfile、Terraform 等），并生成 HTML、JSON 或 Markdown 格式的报告。 ## 安装说明 ``` git clone https://github.com/ne0k1ra/shadowci cd shadowci pip install -e . ``` ## 快速入门 ``` # 扫描文件夹 shadowci scan . # 仅运行特定的 scanners shadowci scan . --only secrets sast # 跳过某些检查 shadowci scan . --skip permissions gitignore # 将原始 JSON 输出到 stdout（方便配合 jq 使用） shadowci scan . --format json ``` ## 检查内容 - **secrets**：查找 API keys、AWS credentials、私钥等（60 多种模式）。 - **sast**：静态分析。对 python 文件使用 Python AST（以尽量减少误报），并对 JS/PHP 等使用 regex 进行兜底。 - **supply_chain**：扫描 package.json 和 requirements.txt，查找 typosquats 和可疑的安装脚本。 - **dockerfile**：检查是否存在 USER root、未固定的基础镜像以及 ENV/ARG 中的 secrets。 - **workflows**：检测 GitHub Actions 中的脚本注入。 - **env**：查找已提交的 `.env` 文件。 - **terraform & kubernetes**：审计配置，检查是否存在开放端口、特权容器和缺少加密的情况。 - **deps**：检查依赖清单中是否存在已知的漏洞。 - **gitignore & permissions**：审计 gitignore 覆盖范围，并检查是否存在全局可写文件。 ## 许可证 MIT

标签：DevSecOps, Python, StruQ, 上游代理, 安全扫描, 文档结构分析, 无后门, 时序注入, 聊天机器人, 自动化payload嵌入, 逆向工具, 错误基检测, 静态代码分析