mitulpatelp112-svg/fortify

## 它解决的问题 大多数团队在交付代码时，从未问过攻击者最先考虑的两个问题： **“暴露了什么？”** 和 **“如果我试探一下会发生什么？”** 安全审查 昂贵、不一致，而且通常发生得太晚——如果有的话。审查结果通常是 一份无人执行的 PDF 文件，且无法证明修复确实填补了漏洞。 **Fortify** 将安全从一次性的审计转变为一个可重复的、与项目无关的 工作流，你可以在*任何*代码库上运行它： 1. 它**映射你的攻击面**——确切地指出哪些是可访问的，哪些是受保护的，以及对象是谁。 2. 它根据全面的攻击目录（OWASP Top 10 及更多）进行**审计**。 3. 它**强化**代码（先报告，批准后修复），映射到你关心的合规框架。 4. 它通过向你正在运行的应用程序释放一群*已授权的*攻击者 agent，来**证明强化是有效的**。 5. 它以 Markdown + JSON + SARIF 格式**报告**，包含前后对比及诚实的剩余风险声明。 它适用于 Web 应用、REST/GraphQL API、移动和桌面项目——它 会自动检测技术栈，因此无需任何配置即可开始使用。 ## 目录 - [快速开始](#quick-start) - [安装到你自己的项目中](#install-into-your-own-project) - [工作原理](#how-it-works) - [安全等级](#security-tiers) - [使用示例](#usage-examples) - [产出结果](#what-you-get-out) - [仓库结构](#repository-layout) - [安全与道德](#safety--ethics) - [仓库元数据](#repository-metadata) - [License](#license) ## 快速开始 针对内置的故意包含漏洞的演示应用进行尝试： ``` git clone https://github.com/mitulpatelp112-svg/cybersecurity-.git cd cybersecurity-/demo-app npm install npm start # vulnerable app on http://localhost:3000 (localhost only!) ``` 然后，在 Claude Code 中运行（此仓库已内置该技能）： ``` /fortify ``` Fortify 将确认授权，检测 Express 应用，询问你想要哪个安全 等级，审计 `demo-app/src/`，向你展示审查结果，在你 批准后进行强化，然后攻击 `localhost:3000` 以确认修复有效。 ## 安装到你自己的项目中 ``` # 从这个 repo 的 clone 中： .claude/skills/fortify/scripts/install.sh /path/to/your/project ``` 这会将技能复制到 `your-project/.claude/skills/fortify/`。在 Claude Code 中打开该 项目并运行 `/fortify`。 ## 工作原理 Fortify 作为一个分阶段的工作流运行（参见 [`SKILL.md`](.claude/skills/fortify/SKILL.md)）： | 阶段 | 发生的操作 | |-------|--------------| | **0 · 授权** | 确认你拥有目标；将实时测试锁定在 localhost / 已确认的 staging 环境。 | | **1 · 发现** | 检测技术栈，枚举入口点，起草*可访问性映射*。 | | **2 · 选择级别** | 你选择一个级别 + 修复策略 + 合规框架（交互式询问）。 | | **3 · 审计与威胁建模** | 根据攻击目录](.claude/skills/fortify/references/attack-catalog.md) 对代码进行走查，对每个入口点进行 STRIDE 分析。 | | **4 · 报告（关卡）** | 按严重程度排序的发现 + 补救措施；你决定要修复什么。 | | **5 · 强化** | 批准后应用符合行业惯例的修复，重新运行你的测试/构建。 | | **6 · 红队集群** | 并行的专业攻击者 agent 安全地攻击已授权的目标。 | | **7 · 最终报告** | Markdown + JSON + SARIF，更新后的可访问性映射，剩余风险，可选的 CI 卡关。 | ## 安全等级 你可以选择每次运行的深入程度（完整详情请参阅 [`security-tiers.md`](.claude/skills/fortify/references/security-tiers.md)）： | 等级 | 适用场景 | 新增内容 | |------|-----|------| | **Basic** | 原型、内部工具 | OWASP 基础，参数化查询，源代码中无密钥，TLS | | **Standard** | 大多数公开应用/API | 完整的 OWASP Top 10 + API Top 10，认证/授权强化，请求头，CSRF，速率限制 | | **Hardened** | 敏感/受监管数据 | 威胁建模，供应链与密钥管理，加密审查，CIS 基础设施强化 | | **Maximum** | 高价值 / 防御级别 | 零信任，假设泄露，DoS 弹性，高级/APT 场景，检测与响应 | ## 使用示例 **仅审计，不进行更改：** **强化特定安全问题：** **交付准备检查：** **添加 CI 卡关：** 完整的带注释演练——包括演示应用的示例发现报告和 可访问性映射——位于 [`docs/EXAMPLE-RUN.md`](docs/EXAMPLE-RUN.md)。 ## 产出结果 每次运行都会写入目标项目的 `security/` 目录： - **`report.md`** — 执行摘要 + 技术附录 + 可访问性映射。 - **`findings.json`** — 机器可读格式，符合 [`findings.schema.json`](.claude/skills/fortify/templates/findings.schema.json) 规范。 - **`findings.sarif`** — SARIF 2.1.0 格式，以便发现结果能在 GitHub PR 上内联显示（代码扫描）。 此外还有一个**可访问性映射**，针对每个攻击面回答：*谁可以访问它， 拥有什么权限，以及这是否是预期的？* ## 仓库结构 ``` . ├── .claude/skills/fortify/ # the portable Fortify skill │ ├── SKILL.md # phased orchestrator │ ├── references/ # attack catalog, tiers, compliance, playbooks, reporting │ ├── agents/red-team-swarm.md # authorized attacker-agent orchestration │ ├── templates/ # auth checklist, findings schema, report, CI workflow │ └── scripts/install.sh # copy Fortify into any project ├── demo-app/ # intentionally-vulnerable app + hardened version ├── docs/EXAMPLE-RUN.md # annotated end-to-end walkthrough ├── SECURITY.md # responsible-use & disclosure policy └── LICENSE # MIT ``` ## 安全与道德 Fortify 是一款**防御性**工具。在进行任何 主动测试之前，请阅读并遵循 [`authorization-checklist.md`](.claude/skills/fortify/templates/authorization-checklist.md)。简而言之：仅测试你拥有或被授权测试的内容； 默认情况下非破坏性；绝不泄露或记录密钥/PII；报告 属于建议性证据和差距分析，**不**是认证，且没有任何等级 能保证万无一失。参见 [`SECURITY.md`](SECURITY.md)。 ## 仓库元数据 建议在 **GitHub → 仓库设置**中设置的值（这些值的 API 并未 向该技能开放，因此需手动设置一次）： - **描述：** - **主题：** `security` · `cybersecurity` · `pentest` · `penetration-testing` · `appsec` · `owasp` · `owasp-top-10` · `security-hardening` · `red-team` · `sast` · `devsecops` · `claude-code` · `ai-security` · `vulnerability-scanner` · `threat-modeling` · `nist` · `compliance` ## License [MIT](LICENSE) © 2026 Mitul Patel

标签：AI智能体, CISA项目, Claude, CVE检测, DevSecOps, Homebrew安装, MITM代理, 上游代理, 图数据库, 自定义脚本, 防御加固