quantakrypto/pqc-tools

GitHub: quantakrypto/pqc-tools

quantakrypto 推出的开源后量子密码学准备度工具集,提供代码库扫描、AI 代理集成、一致性测试及 CI 门禁,帮助组织识别和替换易受量子攻击的加密算法。

Stars: 5 | Forks: 0

# quantakrypto-tools [![CI](https://static.pigsec.cn/wp-content/uploads/repos/cas/ad/ad5834178f7599af9fdda11629d49cae07f2997beec49821b2920eff5bfd50e7.svg)](https://github.com/quantakrypto/pqc-tools/actions/workflows/ci.yml) [![License: Apache-2.0](https://img.shields.io/badge/License-Apache_2.0-blue.svg)](LICENSE) [![npm @quantakrypto/qscan](https://img.shields.io/npm/v/@quantakrypto/qscan?label=%40quantakrypto%2Fqscan)](https://www.npmjs.com/package/@quantakrypto/qscan) [![npm @quantakrypto/mcp](https://img.shields.io/npm/v/@quantakrypto/mcp?label=%40quantakrypto%2Fmcp)](https://www.npmjs.com/package/@quantakrypto/mcp) [![npm @quantakrypto/sieve](https://img.shields.io/npm/v/@quantakrypto/sieve?label=%40quantakrypto%2Fsieve)](https://www.npmjs.com/package/@quantakrypto/sieve) ![Node ≥20](https://img.shields.io/badge/node-%E2%89%A520-brightgreen) ![TypeScript strict](https://img.shields.io/badge/TypeScript-strict-3178c6) ![Runtime deps: 0](https://img.shields.io/badge/runtime%20deps-0-success) [![NIST FIPS 203/204/205](https://img.shields.io/badge/NIST-FIPS%20203%2F204%2F205-7c3aed)](docs/COMPLIANCE.md) 由 [quantakrypto](https://quantakrypto.com) 提供的开源后量子时代准备工具。 在任何代码库中查找易受量子攻击的密码学,将后量子时代的准备状态集成 到您的编辑器和 CI 中,并对后量子实现进行一致性测试 —— **零运行时依赖**(仅使用 Node 内置功能)。 ## 包含内容 | 工具 | 功能 | 获取方式 | |---|---|---| | **[qScan](packages/qscan)** (`@quantakrypto/qscan`) | CLI 工具,可在任何代码库中查找易受量子攻击的加密算法(RSA、(EC)DH、ECDSA、EdDSA 等)并输出准备度评分。支持 SARIF / JSON / CBOM 输出、基线、增量和平行扫描。 | `npx @quantakrypto/qscan ./` | | **[MCP](packages/mcp)** (`@quantakrypto/mcp`) | Model Context Protocol 服务器,为 AI 编程代理提供后量子准备工具(扫描、清单、解释、混合方案建议、CBOM)。支持本地 stdio + 可托管 HTTP。 | `claude mcp add quantakrypto npx @quantakrypto/mcp` | | **[Sieve](packages/sieve)** (`@quantakrypto/sieve`) | 针对 ML-KEM (FIPS 203)、ML-DSA (FIPS 204) 和 SLH-DSA (FIPS 205) 实现的一致性测试套件,通过 JSON stdin/stdout 协议驱动。 | `npx @quantakrypto/sieve --help` | | **[Action](packages/action)** (`@quantakrypto/action`) | 在 CI 中运行 qScan 的 GitHub Action,上传 SARIF,对 diff 进行注释,并且仅在出现**新**的易受量子攻击的加密算法时才中断构建。 | `uses: quantakrypto/pqc-tools/packages/action@v1` | qScan、MCP 和 Action 这三者都共享 **[`@quantakrypto/core`](packages/core)** (`npm i @quantakrypto/core`) 中的引擎 —— 包括检测器、 易受攻击的依赖项数据库、准备度评分以及 SARIF/JSON/CBOM 报告。 Sieve 是独立的:它测试*其他*实现,自身不实现任何加密算法。 ## 快速开始 ``` # 1. 扫描代码库以查找 quantum-vulnerable cryptography。 npx @quantakrypto/qscan ./ # 2. 为你的 AI coding agent 提供 post-quantum readiness 工具。 claude mcp add quantakrypto npx @quantakrypto/mcp # 3. 对 post-quantum 实现进行一致性测试(adapter 通信使用 JSON protocol)。 npx @quantakrypto/sieve --impl "node ./my-impl.js" --param ml-kem-768 ``` 将 [`packages/action/examples/quantum-readiness.yml`](packages/action/examples/quantum-readiness.yml) 放入 `.github/workflows/` 目录下即可添加 CI 门禁,或者直接进行配置: ``` - uses: quantakrypto/pqc-tools/packages/action@v1 with: path: "." severity-threshold: "high" ``` 每个包的 README 中都有完整的选项参考和更多示例: [qScan](packages/qscan/README.md) · [MCP](packages/mcp/README.md) · [Sieve](packages/sieve/README.md) · [Action](packages/action/README.md) · [core](packages/core/README.md)。 ## 工作区布局 ``` quantakrypto-tools/ ├── packages/ │ ├── core/ @quantakrypto/core — shared engine (the contract lives in src/types.ts + src/index.ts) │ ├── qscan/ @quantakrypto/qscan — CLI │ ├── mcp/ @quantakrypto/mcp — MCP server (stdio now, HTTP scaffold for hosting) │ ├── action/ @quantakrypto/action — GitHub Action │ └── sieve/ @quantakrypto/sieve — conformance battery + JSON protocol ├── docs/ architecture, hosted-MCP design, improvement roadmap └── examples/ end-to-end examples ``` ## 开发说明 要求 Node ≥ 20。 ``` npm install # links the workspaces npm run build # tsc --build (project references) npm test # node:test across all packages ``` 工具链极其精简:仅有 TypeScript + `tsx`(用于在 `.ts` 上运行 `node:test`) 这两个开发依赖;**没有任何运行时依赖**。 ## 文档、审计与合规性 完整文档位于 **[`docs/`](docs/README.md)**: - **[路线图与差距分析](docs/ROADMAP.md)** — 优先计划 (P0/P1/P2) 以及从审计中提炼出的“缺失项”。从这里开始了解工作。 - **审计**(独立专家审查):[安全性](docs/audits/security.md) · [密码学](docs/audits/cryptography.md) · [架构](docs/audits/architecture.md) · [性能](docs/audits/performance.md) · [测试/开发体验](docs/audits/testing-devex.md) · [概述](docs/AUDIT.md)。 - **[标准与合规](docs/COMPLIANCE.md)** — 工具涉及及 可对接的标准:NIST FIPS 203/204/205、SP 800-208、CNSA 2.0、SARIF、CWE、 ISO/IEC 27001 (A.8.24)、Common Criteria、FIPS 140-3、EU DORA/NIS2、US M-23-02 / NSM-10,以及 OSS 保证(SLSA、OpenSSF Scorecard、SPDX/REUSE)。 - **治理:** [贡献指南](CONTRIBUTING.md) · [安全性](SECURITY.md) · [行为准则](CODE_OF_CONDUCT.md) · [更新日志](CHANGELOG.md)。 ## 许可证 [Apache-2.0](LICENSE)。方法论是开源的;而审计、证书和 交付成果则是 [quantakrypto](https://quantakrypto.com) 实践的核心。 ## 支持与培训 如有疑问、需要商业支持,或希望为您的团队提供后量子时代准备培训 —— 请访问 **[quantakrypto.com](https://quantakrypto.com)** 或发送邮件至 **[hello@quantakrypto.com](mailto:hello@quantakrypto.com)**。
标签:MITM代理, SBOM, SOC Prime, 后量子密码学, 密码学, 开发工具, 手动系统调用, 暗色界面, 硬件无关, 自动化攻击, 静态扫描