lxl141421/awesome-secure-stacks
GitHub: lxl141421/awesome-secure-stacks
社区驱动的安全审计技术栈集合。
Stars: 0 | Forks: 0
## 📚 栈类别
### A组:按框架生态系统分类
根据您每天使用的技术进行组织。
#### 🖥️ 网页前端
**文件:** [`stacks/frontend.md`](stacks/frontend.md)
框架、打包器、CSS解决方案和客户端安全工具。涵盖React、Vue、Svelte、Angular以及推荐的配套工具的兴起框架。每个条目都包括CSP配置、依赖项审计结果和XSS缓解策略。
#### ⚙️ 后端API
**文件:** [`stacks/backend.md`](stacks/backend.md)
服务器端运行时、Web框架、ORM、身份验证库和API安全工具。涵盖Node.js、Go、Rust、Python、Java和.NET生态系统,对中间件安全、输入验证和身份验证模式进行详细分析。
#### 🏗️ 全栈组合
**文件:** [`stacks/fullstack.md`](stacks/fullstack.md)
经过预验证的端到端组合,涵盖前端、后端、数据库和部署。完整的应用程序蓝图,包含整个依赖图的安全评分——从浏览器到数据库。
### B组:按领域分类
根据您构建的应用类型进行组织。
#### 📱 移动端
**文件:** [`stacks/mobile.md`](stacks/mobile.md)
跨平台和原生移动开发框架、状态管理、导航和移动端特定安全工具。包括对应用程序签名、依赖项管理和运行时完整性的分析。
#### 🖥️ 桌面端
**文件:** [`stacks/desktop.md`](stacks/desktop.md)
以安全为首要目标的桌面应用程序框架。涵盖Tauri的基于Rust的过程隔离、Electron的CSP强化、Qt原生模块和.NET MAUI跨平台部署。对每个栈进行自动更新安全、原生模块审计管道和IPC边界保护评估。
#### 🎮 游戏
**文件:** [`stacks/gaming.md`](stacks/gaming.md)
游戏引擎和多人基础设施,重点关注供应链安全。涵盖Unity、Godot、Unreal Engine和Bevy(Rust)。对每个栈进行资产管道安全、多人网络协议、模/UGC沙盒化和反作弊集成的评估。
#### 🤖 人工智能开发
**文件:** [`stacks/ai-development.md`](stacks/ai-development.md)
AI编码助手及其独特的供应链风险。涵盖GitHub Copilot、Cursor、Aider和相关工具。AI生成的代码引入了新的攻击向量:虚构的包名称、来自训练数据的不安全模式以及通过云推理泄露的上下文。
#### 🧠 人工智能/LLM应用程序
**文件:** [`stacks/ai-apps.md`](stacks/ai-apps.md)
LLM编排框架、向量数据库和AI代理基础设施。涵盖LangChain、vLLM、LlamaIndex和代理框架。特别关注提示注入防御、模型供应链验证、RAG管道安全和推理端点强化。
### C组:基础设施和架构
根据保持您的软件运行的系统进行组织。
#### 🗄️ 数据库
**文件:** [`stacks/database.md`](stacks/database.md)
关系型、文档、键值和时序数据库及其客户端库、迁移工具和连接池解决方案。包括对身份验证机制、静态加密和网络安全配置的分析。
#### 🔧 DevOps
**文件:** [`stacks/devops.md`](stacks/devops.md)
基础设施即代码、CI/CD、容器编排、密钥管理、可观察性和云提供商工具。对每个栈进行整个部署管道的供应链完整性评估。
#### ⚡ 实时
**文件:** [`stacks/realtime.md`](stacks/realtime.md)
WebSocket、SSE、pub/sub、消息队列和实时协作工具,对持久连接的安全考虑。评估身份验证、消息完整性和拒绝服务弹性。
#### 🔗 分布式
**文件:** [`stacks/distributed.md`](stacks/distributed.md)
服务网格、API网关、分布式跟踪和微服务通信模式。涵盖Istio、Linkerd、Kong和Saga编排。对每个栈进行零信任网络、mTLS无处不在、断路器和跨服务身份验证的评估。
#### 🔄 进化
**文件:** [`stacks/evolution.md`](stacks/evolution.md)
从单体到分布式架构的迁移路径,每个阶段都保留了安全性。涵盖模块化单体、服务提取模式、Strangler Fig和事件驱动分解。对每个过渡点进行安全回归风险的评估。
## 🕘 供应链攻击时间线
主要供应链攻击的编年史,这些攻击推动了本项目。了解过去对于确保未来至关重要。
```
2017 ───────────────────────────────────────────────────────────────────────── 2025
│ │
│ 2017-11 ┌─ event-stream / flatmap-stream │
│ │ Cryptocurrency wallet theft via trusted npm dependency │
│ │ Impact: Millions of users | Vector: npm dependency hijack │
│ └────────────────────────────────────────────────────── │
│ │
│ 2020-03 ┌─ eslint-scope │
│ │ Stolen npm credentials exfiltrated environment variables │
│ │ Impact: CI/CD pipelines | Vector: credential theft │
│ └────────────────────────────────────────────────────── │
│ │
│ 2020-12 ┌─ SolarWinds Orion (SUNBURST) │
│ │ Nation-state attack, 18,000+ organizations compromised │
│ │ Impact: US gov agencies, Fortune 500 | Vector: build system │
│ └────────────────────────────────────────────────────── │
│ │
│ 2021-01 ┌─ ua-parser-js (70M+ weekly downloads) │
│ │ Crypto miners + password stealers injected into hijacked pkg │
│ │ Impact: Millions of installs | Vector: maintainer account theft │
│ └────────────────────────────────────────────────────── │
│ │
│ 2021-04 ┌─ Codecov Bash Uploader │
│ │ CI secrets exfiltrated via compromised upload tool │
│ │ Impact: 29,000+ projects | Vector: CI tool tampering │
│ └────────────────────────────────────────────────────── │
│ │
│ 2022-01 ┌─ colors.js / faker.js (protestware) │
│ │ Intentional infinite loop broke thousands of CI pipelines │
│ │ Impact: Industry-wide | Vector: maintainer sabotage │
│ └────────────────────────────────────────────────────── │
│ │
│ 2022-03 ┌─ node-ipc (protestware) │
│ │ Data-wiping code targeted by IP geolocation │
│ │ Impact: vue-cli users | Vector: ideological sabotage │
│ └────────────────────────────────────────────────────── │
│ │
│ 2022-12 ┌─ PyTorch torchtriton (dependency confusion) │
│ │ Malicious PyPI package with identical name to nightly dep │
│ │ Impact: ML researchers | Vector: dependency confusion │
│ └────────────────────────────────────────────────────── │
│ │
│ 2023-03 ┌─ 3CX Desktop App │
│ │ First publicly documented cascading supply chain attack │
│ │ Impact: 600,000+ businesses | Vector: cascading compromise │
│ └────────────────────────────────────────────────────── │
│ │
│ 2024-03 ┌─ XZ Utils (CVE-2024-3094) │
│ │ Multi-year social engineering campaign → sshd backdoor │
│ │ Impact: Nearly all Linux distros | Vector: maintainer infiltration│
│ └────────────────────────────────────────────────────── │
│ │
│ 2025-01 ┌─ tj-actions/changed-files (GitHub Actions) │
│ │ Compromised CI action leaked secrets from thousands of repos │
│ │ Impact: 23,000+ repos | Vector: GitHub Actions compromise │
│ └────────────────────────────────────────────────────── │
│ │
│ 2025-?? The next one is being planned right now. │
│ 这个项目正是为了应对下一个攻击而存在。 │
│ Stay vigilant. Use verified stacks. 🔒 │
│ │
└───────────────────────────────────────────────────────────────────────────────┘
```
## 🔒 安全警告
### 报告栈漏洞
如果您在任何推荐的栈中发现安全漏洞:
1. **不要** 为敏感漏洞在GitHub上创建公开问题
2. 📧 邮件:**security@awesome-secure-stacks.dev**
3. ⏱️ 我们的目标是在**48小时内**回复,并在**7天内**发布警告
### 警告格式
每个警告都遵循[OpenSSF OpenVEX](https://openvex.dev/)格式:
```
Advisory: ASSA-2025-001
Severity: High (CVSS 8.1)
Affected Stacks: backend-go-chi, fullstack-t3
Component: golang.org/x/crypto v0.21.0
Fixed In: v0.22.0
Status: Resolved
Published: 2025-05-15
```
### 订阅警告
- 🔔 **GitHub Watch** → 在此存储库上选择“仅发布”
- 📡 **Atom feed:** [`/releases.atom`](https://github.com/lxl141421/awesome-secure-stacks/releases.atom)
- 📢 关注[发布](https://github.com/lxl141421/awesome-secure-stacks/releases)页面以获取安全警告
## 🤝 贡献
我们欢迎贡献!但安全策展需要严谨性——质量胜于数量。
### 如何贡献
| 类型 | 如何 | 难度 |
|------|-----|------------|
| 🐛 报告评分错误 | [打开问题](https://github.com/lxl141421/awesome-secure-stacks/issues/new) | 简单 |
| 📦 提出新的栈 | [打开问题](https://github.com/lxl141421/awesome-secure-stacks/issues/new) 提供栈详细信息 | 中等 |
| 📊 更新评分 | [提交PR](https://github.com/lxl141421/awesome-secure-stacks/compare) 提供证据 | 中等 |
| 🔍 审计栈 | [遵循审计指南](CONTRIBUTING.md) | 困难 |
| 📝 改进文档 | [提交PR](https://github.com/lxl141421/awesome-secure-stacks/compare) | 简单 |
### 贡献指南
1. 阅读CONTRIBUTING.md以获取完整指南和模板
2. 所有新栈都必须包含一个**重现模板**(lockfile或Docker Compose)
3. 评分更改需要**证据**(CVE链接、审计报告、工具输出)
4. 在所有互动中都要尊重和建设性
### 添加新的栈
```
# 1. 分支和克隆
git clone https://github.com/YOUR_USERNAME/awesome-secure-stacks.git
cd awesome-secure-stacks
# 2. 创建分支
git checkout -b add/my-awesome-stack
# 3. 将您的栈条目添加到适当的类别文件中
# 遵循 CONTRIBUTING.md 中的模板格式
# 包括:版本矩阵、安全评分、CVE 分析、替代方案
# 4. 提交带有证据的 PR
git push origin add/my-awesome-stack
```
## 🗺️ 路线图
查看[ROADMAP.md](ROADMAP.md)以获取完整的项目路线图。关键里程碑包括自动评分管道、扩展栈覆盖范围以及与Sigstore和OpenSSF Scorecard数据的集成。
**即将推出的亮点:**
- 🤖 自动每月评分与CI/CD集成
- 📊 交互式栈比较仪表板
- 🔗 Sigstore和SLSA来源验证集成
- 📦 扩展栈覆盖:嵌入式系统、游戏引擎、数据工程
- 🌐 多语言文档(中文、日语、韩语)
## 📜 许可证
本项目采用**MIT许可证**——有关详细信息,请参阅[LICENSE](LICENSE)文件。
## 🙏 致谢
本项目离不开以下人员的贡献:
### 这是给谁的?
- 🧑💻 **独立开发者**,他们正在构建单独的项目,需要经过验证的栈而没有安全团队
- 🤖 **AI辅助开发者**,使用Copilot/Cursor/Aider,希望验证生成的依赖项选择
- 🌐 **Web团队**,正在交付具有生产级安全的React/Vue/Angular应用程序
- 📱 **移动团队**,正在构建iOS/Android/cross-platform应用程序,具有加固的原生桥接
- ⚙️ **后端团队**,在API网关后面运行Go/Rust/Python/Java服务
- 🎮 **游戏工作室**,正在保护多人基础设施和模生态系统
- 🏢 **进行技术升级的企业**,在框架代际之间安全迁移
- 🔄 **从单体到微服务演变的团队**,在每次迁移阶段都需要安全性
### 特别感谢
- 🏛️ **[OpenSSF](https://openssf.org/)** — 为Scorecard、SLSA和Sigstore基础
- 🔍 **[Sonatype](https://www.sonatype.com/)** — 为软件供应链状态报告
- 🛡️ **[Snyk](https://snyk.io/)** — 为漏洞数据库和研究
- 📦 **[npm](https://www.npmjs.com/), [PyPI](https://pypi.org/), [crates.io](https://crates.io/)** — 为包生态系统
- 🐙 **[GitHub Security](https://github.com/security)** — 为Advisory Database和Dependabot
- 🌐 **[CISA](https://www.cisa.gov/)** — 为SBOM指南和供应链安全倡导
- 💜 **所有贡献者**,他们审计、测试和维护栈条目
- 🦀 **Rust社区** — 证明了内存安全性可以是默认的
- 🐧 **Linux内核社区** — 从XZ中学到的硬课
- **XZ Utils事件响应者** — 他们的工作突出了供应链安全的重要性
- **`event-stream`事件报告者** — 首次展示了npm生态系统的脆弱性
- **每个维护者**,他们签署自己的发布,发布SBOM,并负责任地响应CVE
- **[OpenSSF](https://openssf.org/)** — 为Scorecard、SLSA和Sigstore基础
- **[Sonatype](https://www.sonatype.com/)** — 为软件供应链状态报告
- **[Snyk](https://snyk.io/)** — 为漏洞数据库和研究
- **[npm](https://www.npmjs.com/), [PyPI](https://pypi.org/), [crates.io](https://crates.io/)** — 为包生态系统
- **[GitHub Security](https://github.com/security)** — 为Advisory Database和Dependabot
- **[CISA](https://www.cisa.gov/)** — 为SBOM指南和供应链安全倡导
- **所有贡献者**,他们审计、测试和维护栈条目
- **Rust社区** — 证明了内存安全性可以是默认的
- **Linux内核社区** — 从XZ中学到的硬课
- **XZ Utils事件响应者** — 他们的工作突出了供应链安全的重要性
- **`event-stream`事件报告者** — 首次展示了npm生态系统的脆弱性
- **每个维护者**,他们签署自己的发布,发布SBOM,并负责任地响应CVE
⭐ If this project helps you ship more secure software, give it a star! ⭐
如果这个项目帮助你构建更安全的软件,请给我们一个 Star!
标签:API安全, API密钥检测, CSP强化, IPC边界保护, JSON输出, ORM, XSS防护, 中间件安全, 依赖审计, 依赖管理, 全栈组合, 原生模块审计, 可视化界面, 后端框架, 多人游戏基础设施, 安全沙箱, 安全策略, 安全评分, 安全配置, 应用签名, 应用类型, 应用蓝图, 技术栈, 提示词设计, 日志审计, 框架生态, 桌面应用, 游戏开发, 游戏引擎, 版本兼容性, 社区协作, 移动开发, 认证库, 认证模式, 请求拦截, 输入验证, 运行时完整性, 进程隔离, 逆向工具