quantakrypto/pqc-tools
GitHub: quantakrypto/pqc-tools
quantakrypto 推出的开源后量子密码学准备度工具集,提供代码库扫描、AI 代理集成、一致性测试及 CI 门禁,帮助组织识别和替换易受量子攻击的加密算法。
Stars: 5 | Forks: 0
# quantakrypto-tools
[](https://github.com/quantakrypto/pqc-tools/actions/workflows/ci.yml)
[](LICENSE)
[](https://www.npmjs.com/package/@quantakrypto/qscan)
[](https://www.npmjs.com/package/@quantakrypto/mcp)
[](https://www.npmjs.com/package/@quantakrypto/sieve)



[](docs/COMPLIANCE.md)
由 [quantakrypto](https://quantakrypto.com) 提供的开源后量子时代准备工具。
在任何代码库中查找易受量子攻击的密码学,将后量子时代的准备状态集成
到您的编辑器和 CI 中,并对后量子实现进行一致性测试 ——
**零运行时依赖**(仅使用 Node 内置功能)。
## 包含内容
| 工具 | 功能 | 获取方式 |
|---|---|---|
| **[qScan](packages/qscan)** (`@quantakrypto/qscan`) | CLI 工具,可在任何代码库中查找易受量子攻击的加密算法(RSA、(EC)DH、ECDSA、EdDSA 等)并输出准备度评分。支持 SARIF / JSON / CBOM 输出、基线、增量和平行扫描。 | `npx @quantakrypto/qscan ./` |
| **[MCP](packages/mcp)** (`@quantakrypto/mcp`) | Model Context Protocol 服务器,为 AI 编程代理提供后量子准备工具(扫描、清单、解释、混合方案建议、CBOM)。支持本地 stdio + 可托管 HTTP。 | `claude mcp add quantakrypto npx @quantakrypto/mcp` |
| **[Sieve](packages/sieve)** (`@quantakrypto/sieve`) | 针对 ML-KEM (FIPS 203)、ML-DSA (FIPS 204) 和 SLH-DSA (FIPS 205) 实现的一致性测试套件,通过 JSON stdin/stdout 协议驱动。 | `npx @quantakrypto/sieve --help` |
| **[Action](packages/action)** (`@quantakrypto/action`) | 在 CI 中运行 qScan 的 GitHub Action,上传 SARIF,对 diff 进行注释,并且仅在出现**新**的易受量子攻击的加密算法时才中断构建。 | `uses: quantakrypto/pqc-tools/packages/action@v1` |
qScan、MCP 和 Action 这三者都共享
**[`@quantakrypto/core`](packages/core)** (`npm i @quantakrypto/core`) 中的引擎 —— 包括检测器、
易受攻击的依赖项数据库、准备度评分以及 SARIF/JSON/CBOM 报告。
Sieve 是独立的:它测试*其他*实现,自身不实现任何加密算法。
## 快速开始
```
# 1. 扫描代码库以查找 quantum-vulnerable cryptography。
npx @quantakrypto/qscan ./
# 2. 为你的 AI coding agent 提供 post-quantum readiness 工具。
claude mcp add quantakrypto npx @quantakrypto/mcp
# 3. 对 post-quantum 实现进行一致性测试(adapter 通信使用 JSON protocol)。
npx @quantakrypto/sieve --impl "node ./my-impl.js" --param ml-kem-768
```
将
[`packages/action/examples/quantum-readiness.yml`](packages/action/examples/quantum-readiness.yml)
放入 `.github/workflows/` 目录下即可添加 CI 门禁,或者直接进行配置:
```
- uses: quantakrypto/pqc-tools/packages/action@v1
with:
path: "."
severity-threshold: "high"
```
每个包的 README 中都有完整的选项参考和更多示例:
[qScan](packages/qscan/README.md) ·
[MCP](packages/mcp/README.md) ·
[Sieve](packages/sieve/README.md) ·
[Action](packages/action/README.md) ·
[core](packages/core/README.md)。
## 工作区布局
```
quantakrypto-tools/
├── packages/
│ ├── core/ @quantakrypto/core — shared engine (the contract lives in src/types.ts + src/index.ts)
│ ├── qscan/ @quantakrypto/qscan — CLI
│ ├── mcp/ @quantakrypto/mcp — MCP server (stdio now, HTTP scaffold for hosting)
│ ├── action/ @quantakrypto/action — GitHub Action
│ └── sieve/ @quantakrypto/sieve — conformance battery + JSON protocol
├── docs/ architecture, hosted-MCP design, improvement roadmap
└── examples/ end-to-end examples
```
## 开发说明
要求 Node ≥ 20。
```
npm install # links the workspaces
npm run build # tsc --build (project references)
npm test # node:test across all packages
```
工具链极其精简:仅有 TypeScript + `tsx`(用于在 `.ts` 上运行 `node:test`)
这两个开发依赖;**没有任何运行时依赖**。
## 文档、审计与合规性
完整文档位于 **[`docs/`](docs/README.md)**:
- **[路线图与差距分析](docs/ROADMAP.md)** — 优先计划 (P0/P1/P2)
以及从审计中提炼出的“缺失项”。从这里开始了解工作。
- **审计**(独立专家审查):[安全性](docs/audits/security.md) ·
[密码学](docs/audits/cryptography.md) · [架构](docs/audits/architecture.md) ·
[性能](docs/audits/performance.md) · [测试/开发体验](docs/audits/testing-devex.md) ·
[概述](docs/AUDIT.md)。
- **[标准与合规](docs/COMPLIANCE.md)** — 工具涉及及
可对接的标准:NIST FIPS 203/204/205、SP 800-208、CNSA 2.0、SARIF、CWE、
ISO/IEC 27001 (A.8.24)、Common Criteria、FIPS 140-3、EU DORA/NIS2、US
M-23-02 / NSM-10,以及 OSS 保证(SLSA、OpenSSF Scorecard、SPDX/REUSE)。
- **治理:** [贡献指南](CONTRIBUTING.md) · [安全性](SECURITY.md) ·
[行为准则](CODE_OF_CONDUCT.md) · [更新日志](CHANGELOG.md)。
## 许可证
[Apache-2.0](LICENSE)。方法论是开源的;而审计、证书和
交付成果则是 [quantakrypto](https://quantakrypto.com) 实践的核心。
## 支持与培训
如有疑问、需要商业支持,或希望为您的团队提供后量子时代准备培训 ——
请访问 **[quantakrypto.com](https://quantakrypto.com)** 或发送邮件至
**[hello@quantakrypto.com](mailto:hello@quantakrypto.com)**。
标签:MITM代理, SBOM, SOC Prime, 后量子密码学, 密码学, 开发工具, 手动系统调用, 暗色界面, 硬件无关, 自动化攻击, 静态扫描