Himanshuagrawal4/ag-github-security-scanner

# AG GitHub 安全扫描器 AG GitHub 安全扫描器是一个针对授权测试的本地优先安全扫描仪表板。它提供范围扫描工作流程、实时 WebSocket 遥测、SQLite 审计跟踪、模块化扫描引擎以及无需发送扫描数据到第三方服务的本地启发式漏洞分析。 ## 突出特点 - 使用 Helmet、CORS 和速率限制的 Express 和 WebSocket 后端。 - WAL 模式下的 SQLite 数据库用于本地持久化。 - JWT 认证，具有管理员、操作员和查看者角色。 - 扫描模块包括头部、TLS、端口、OSINT DNS、Web 检查、API 发现和常见路径发现。 - 可选的 nmap 集成，带有纯 Node.js TCP 备用。 - OWASP Top 10 映射、CVSS 风格评分、攻击链提示和修复指南。 - 带有扫描控制台、报告、团队设置和可导出 HTML/JSON 报告的实时仪表板。 ## 法律和道德范围 应用程序要求用户在排队扫描之前确认授权。扫描创建、停止请求、认证事件、注册和团队更改都会写入审计日志。 请勿使用此项目进行未经授权的扫描、入侵、利用、凭证盗窃、规避、持续性或违反法律、合同或平台条款的活动。 ## 快速入门 ``` npm install cp .env.example .env npm run dev ``` 打开 `http://localhost:3000`，注册一个工作区，并创建一个授权扫描。 在 Windows PowerShell 中，使用以下命令复制示例环境文件： ``` Copy-Item .env.example .env ``` ## 配置 ``` PORT=3000 JWT_SECRET=change-me-to-a-long-random-secret DATABASE_PATH=database/ag-security-scanner.sqlite MAX_CONCURRENT_SCANS=2 SCAN_SOCKET_TIMEOUT_MS=900 SCAN_FETCH_TIMEOUT_MS=6000 ALLOW_LOCAL_TARGETS=true ENABLE_NMAP=true ``` 将 `ENABLE_NMAP=false` 设置为强制使用 Node.js 扫描器。如果启用 nmap 但不可用，应用程序将回退到 Node.js TCP 连接扫描器。 ## 角色 - `admin`：管理团队成员和扫描。 - `operator`：启动和停止扫描。 - `viewer`：查看仪表板和报告。 ## API 概述 - `POST /api/auth/register` - `POST /api/auth/login` - `GET /api/auth/me` - `POST /api/scans` - `GET /api/scans` - `GET /api/scans/:id` - `POST /api/scans/:id/stop` - `GET /api/scans/:id/report` - `GET /api/dashboard/stats` - `GET /api/teams/members` ## 验证 ``` npm run check npm start ``` ## 项目结构 ``` ai/ Analysis and report generation config/ Database and app constants database/ SQLite schema lib/ Queue, validation, logging, and payload data middleware/ Authentication middleware public/ Browser dashboard routes/ HTTP API routes scanners/ Modular scanner engines scripts/ Local verification scripts ``` ## 负责任披露 如果您在此项目中发现漏洞，请遵循 [SECURITY.md](SECURITY.md）。对于敏感报告，请勿公开创建问题。 ## 贡献 欢迎贡献。在提交问题或拉取请求之前，请阅读 [CONTRIBUTING.md](CONTRIBUTING.md)。 ## 许可证 在 [MIT 许可证](LICENSE) 下发布。

标签：CVSS 评分, GitHub 安全, HTML/JSON 报告, JWT 认证, Nmap 集成, OWASP Top 10, SQLite, WebSocket, 人工智能安全, 仪表盘, 依赖分析, 修复指南, 合规性, 安全扫描, 审计日志, 授权扫描, 攻击链分析, 数据库审计, 时序注入, 本地化安全, 模块化扫描, 漏洞分析, 网络安全, 自定义脚本, 路径探测, 隐私保护