cognis-digital/rmf-package

GitHub: cognis-digital/rmf-package

该工具将安全扫描结果自动转化为 NIST RMF 合规授权所需的 SSP、POA&M、SAR 及 OSCAL 文档,支持 eMASS/Xacta 导入格式。

Stars: 0 | Forks: 0

# rmf-package — 为 eMASS / Xacta 自动生成 SSP / POAM / SAR [![CI](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/4ab672df0d163008.svg)](https://github.com/cognis-digital/rmf-package/actions) [![分类](https://img.shields.io/badge/classification-UNCLASSIFIED-green.svg)](./UPSTREAM.md) ## 使用说明 — 逐步指南 `rmf-package` 可将 findings JSON 文件(或包含该文件的目录)转化为 NIST RMF 授权产出物:SSP、POA&M、SAR 以及 OSCAL 骨架。 1. **安装:** pip install cognis-rmf-package # 或者:pip install -e . rmf-package --version 2. **针对你的 findings 运行** — 位置参数 `target` 可以是一个 findings JSON 文件或一个目录(默认为 `.`)。默认在控制台输出: rmf-package ./findings.json --format console 3. **生成特定的产出物** 使用 `--emit`(以逗号分隔:`ssp,poam,sar,oscal`),并指定系统名称和输出目录: rmf-package ./findings.json --emit ssp,poam,oscal \ --system "Acme Mission System" --out-dir ./rmf-out 4. **查看结果** — 生成的产出物会存放在输出目录中;检查 OSCAL 骨架或 JSON 摘要: ls ./rmf-out rmf-package ./findings.json --format json | jq . 5. **在自动化中使用** — 在 CI 中将其串联在扫描器(如 `mcpscan`/`tfscan`)之后,以保持授权包处于最新状态: rmf-package ./scan-findings.json --emit ssp,poam,sar,oscal \ --system "Acme Mission System" --out-dir ./rmf-out --format json ## 上游 Fork/封装了 **(original)**。请参阅 [`UPSTREAM.md`](./UPSTREAM.md) 了解其 授权许可立场、支持的提交以及如何进行升级。 ## 本项目为军事 / 情报界 (IC) 使用增添的功能 - SSP(System Security Plan,系统安全计划)生成器 — markdown - POAM(Plan of Action & Milestones,行动计划与里程碑) — eMASS CSV - SAR(Security Assessment Report,安全评估报告) — markdown - OSCAL 1.1 SSP 骨架 — JSON - 汇总多个扫描结果中的 findings ## 安装 ``` # 共享库(整个生态系统仅需一次): pip install -e ../../shared # 此工具: pip install -e . ``` ## 演示 ``` rmf-package demos/findings.json --emit ssp,poam,sar,oscal --system 'My System' -o rmf-out/ ``` 输出支持五种格式 — 全部遵循操作者提供的 分类标识(通过 `--classification` 传入): ``` rmf-package --format=console # default rmf-package --format=json rmf-package --format=sarif # for code-scanning pipelines rmf-package --format=markdown # for PRs / briefings rmf-package --format=oscal # OSCAL Assessment Results skeleton ``` ## 分类标识 所有输出均由操作者提供的分类标识进行包装。 **默认**:`UNCLASSIFIED//FOR PUBLIC RELEASE`。 ## 合规性交叉对照(内置) 每一条 finding 都可以包含以下引用: - **NIST 800-53 Rev 5** 控制项(例如 `AC-2(1)`) - **DISA STIG** 规则 ID(例如 `V-242414`) - **MITRE ATT&CK** 技术 ID(例如 `T1078`) - **CCI**(Control Correlation Identifier,控制关联标识符) 这些内容会以 JSON、SARIF 以及 OSCAL 骨架的形式输出。 ## CI / RMF 集成 ``` - name: rmf-package scan run: | pip install cognis-rmf-package rmf-package . --format=oscal --out=assessment-results.json --fail-on=high - name: Upload to eMASS/Xacta run: cognis-rmf-package import assessment-results.json ``` ## Cognis Digital 军事 / 情报界 (IC) 生态的一部分 包含 12 个代码库。均基于 MIT/Apache-2.0/GPL-3 协议(根据上游而定)。除非另有说明, Cognis 的附加内容均采用 Apache-2.0 协议。 请参阅[主索引](../../MASTER-INDEX.md)。 ## 互操作性 `rmf-package` 可与包含 300+ 工具的 Cognis 套件组合使用 — 采用 JSON 输入/输出,并共享 兼容 OpenAI 的 `/v1` 主干网络。请参阅 **[INTEROP.md](INTEROP.md)** 了解 套件图谱、组合模式以及参考技术栈。 ## 集成 通过 [`cognis-connect`](https://github.com/cognis-digital/cognis-connect) 将 `rmf-package` 的 findings 转发给 STIG/MISP/Sigma/Splunk/Elastic/Slack/webhooks。 请参阅 **[INTEGRATIONS.md](INTEGRATIONS.md)**。
标签:eMASS, OSCAL, Python, 合规自动化, 安全文档生成, 无后门, 逆向工具, 风险管理框架