mguttmann/code-audit-suite
GitHub: mguttmann/code-audit-suite
基于本地 Docker 的全维度代码质量与安全审计工具链,打包为 Claude Code 插件,一次运行即可覆盖质量、安全、许可证、架构和构建验证等全部检查维度。
Stars: 0 | Forks: 0
# code-audit-suite
一个基于本地 Docker 的代码质量与安全工具链,被打包为 **Claude Code
skills**。一个编排器针对目标目录在单次运行中执行整个链条,
将结果汇总为一个结论,并驱动代码库达到零问题——
不仅在质量和安全方面,还包括代码是否**真正编译/构建成功**。
输出结果可直接在 Claude Code 中读取;没有仪表板。
## 技能
**编排器**
- **code-audit-suite** — 从头到尾运行整个链条,检测适用项,汇总一个结论(CLEAN / FINDINGS / INCOMPLETE),并提供自主修复策略。 → `scripts/run-all.sh`
**工具**(每个均可独立使用;suite 按此顺序调用它们)
| Skill | 维度 |
|-------|------|
| `sonarqube-quality` | 质量/SAST — SonarQube(运行在 :9000 上的 Docker 化服务) |
| `trivy-security` | SCA / IaC / 容器 / 机密 / 许可证 — Trivy |
| `opengrep-sast` | 深度自定义规则 SAST — Opengrep(Semgrep 分支) |
| `secrets-scan` | 已提交的机密 — Gitleaks + TruffleHog |
| `bearer-privacy` | PII/PHI 数据流 — Bearer |
| `megalinter-quality` | 100+ 原生 linter/格式化工具 — MegaLinter |
| `architecture-analysis` | 循环/孤儿依赖 + 分层规则 — dependency-cruiser |
| `build-verify` | 能否编译/构建? — 各语言编译器 + `docker build` |
| `kubescape-k8s` | Kubernetes 清单安全态势与合规性 — Kubescape |
| `dast-runtime` | 针对运行中应用的运行时/DAST — OWASP ZAP + Nuclei |
| `license-compliance` | 许可证/版权检测 + 策略门禁 — ScanCode |
## 要求
- Docker(每个工具都作为临时容器运行)。
- 对于 SonarQube 阶段:需要在 `localhost:9000` 可访问的本地 Docker 化 SonarQube。
- 建议使用 `timeout`/`gtimeout` (coreutils) 以实现干净的各工具挂起保护。
## 安装
此仓库是一个 Claude Code **插件**(并作为其自身的单插件市场):
```
/plugin marketplace add mguttmann/code-audit-suite
/plugin install code-audit-suite@code-audit-suite
```
Claude Code 随后会自动发现编排器、11 个工具 skill 以及
`/code-audit` 命令。如果希望独立使用这些 skill,请将 `skills/*`
目录复制到 `~/.claude/skills/` 中。
## 运行
```
/code-audit [TARGET_DIR]
```
…或直接调用编排器(路径位于插件根目录下,或对于独立安装位于
`~/.claude/skills/` 下):
```
code-audit-suite/scripts/run-all.sh [TARGET_DIR]
# 包括对您已获授权测试的 app 运行 runtime/DAST:
SUITE_URL=http://localhost:3000 code-audit-suite/scripts/run-all.sh [TARGET_DIR]
```
总体退出代码:**0 = CLEAN**,**1 = FINDINGS**,**2 = INCOMPLETE**(工具报错
或未执行任何内容——请修复环境并重新运行,这不是安全结果)。每个工具的状态为
`PASS` / `FINDINGS` / `ERROR`(操作性问题,绝不属于安全发现) / `SKIPPED (reason)`。
每个 skill 的 `SKILL.md` 文档说明了其触发器、环境变量和退出
契约;`index.md` 是完整的概述。`build-verify/scripts/selftest.sh` 是一个
回归防护——在更改 `build-verify` 之前请先运行它。
标签:Claude Code插件, DevSecOps, Docker, SAST, 上游代理, 安全防御评估, 盲注攻击, 请求拦截, 静态应用安全测试