TomWartenberg-IRN/aegisplay

# 🛡️ AegisPlay **一个用于代码片段的可解释 SAST 试验场** 🔗 [立即体验 AegisPlay Beta 版](https://aegisplay.net) *注意：AegisPlay 是一款闭源 SaaS 工具。本仓库作为公开中心，用于提供文档、保持透明度、接收 Bug 报告并收集开发者社区的反馈。* ## 为什么开发这个工具 作为一名开发者，我经常对传统的静态应用安全测试（SAST）工具感到头疼。它们通常会向你扔来包含一堆晦涩难懂警报的庞大电子表格，对标准的沙箱策略大惊小怪，或者要求配置复杂的 CI/CD pipeline，仅仅是为了扫描一段 30 行的脚本。 我想要一个简单、低门槛的平台，只需粘贴一段杂乱的代码片段，就能立即获得人类可读的风险说明。没有噪音，没有令人困惑的仪表盘——只需直截了当地分析： * **什么**地方出了问题？ * 问题出现在**哪里**？ * **为什么**这很重要？ * 更安全的模式**是什么**样的？ ## AegisPlay 的功能 AegisPlay 充当了代码质量和安全的即时翻译层。你只需粘贴代码，点击 **Analyze**，系统就会对该代码片段进行分类处理。它提供结构化、可解释的反馈，让你确切了解代码架构和执行路径的实际影响。 ## 工作原理（以及为什么它不仅仅是一个 LLM 封装器） AI 编程工具的一个常见陷阱是盲目地将原始代码发送给大型语言模型（LLM）并期望得到准确的结果，这通常会导致幻觉或遗漏漏洞。 AegisPlay 采用了**混合架构**（类似于优化一个双职业构建，其中一个负责处理原始属性，另一个负责处理逻辑）： 1. **确定性引擎：** 首先，静态引擎会执行模式匹配、遥测检查和针对特定模式的分类。它根据置信度和类别对检测结果进行分组，将实际的安全风险与沙箱或策略提示区分开来（例如，防止将单纯的 `import os` 标记为严重漏洞）。 2. **AI 工程师洞察：** 只有在确定性分析完成后，AI 层才会介入。它会读取结构化元数据，对检测结果进行优先级排序，并生成清晰、人类可读的总结和修复建议。 ## 两种模式 为了确保反馈的相关性，AegisPlay 将分析分为两个不同的视角： * **代码审计模式：** 侧重于可维护性、输入验证、整体架构、重复逻辑和生产就绪情况。它可以帮助你清理杂乱的代码。 * **安全测试模式：** 严格侧重于可利用性。它致力于寻找注入路径（SQL、命令执行）、不安全的反序列化、暴露的密钥和调试配置。 ## 示例工作流 其核心用户体验旨在最大程度地降低认知负担： 1. 将你的代码片段粘贴到编辑器中。 2. 选择 **Code Audit** 或 **Security Test**。 3. 点击 **Analyze**。 4. 阅读按优先级排序的 *AI 工程师洞察*，并探索右侧的独立发现卡片。 ## 目标用户 AegisPlay 专为开发者、学习者、独立开发者、自由职业者和小型团队打造，帮助他们为特定代码块获取快速、可操作的反馈，而无需搭建繁重的基础设施。 ## 它不包含什么 让我们明确一下预期： * **它不能取代企业级的 SAST pipeline。** * **它不能取代专业的人工安全审计或渗透测试。** * 它并不是为你应用提供的“100% 安全”保证印章。它只是一个试验场，旨在帮助你理解风险。 ### ⚠️ 隐私与安全提示 AegisPlay 目前处于**公测阶段**。虽然系统在设计上是安全的，但仍请保持常识：**请勿在试验场中粘贴生产环境的密钥、API key、凭证或高度敏感的专有代码**。请仅使用它来评估模式、架构和经过脱敏处理的代码片段。 ## 反馈与 Bug 报告 由于这是一个独立开发的 Beta 版本，我非常欢迎进行真实的压力测试。如果引擎出现幻觉、遗漏了明显的漏洞，或者对正常的模式“大惊小怪”，请告诉我。 你可以使用此 GitHub 仓库的 **Issues** 标签页来： * 报告误报 / 漏报 * 提议 UI/UX 改进 * 建议添加新的确定性规则 ## 路线图 / 未来设想 * 优化确定性引擎以进一步减少沙箱噪音。 * 扩展对更多语言和框架的健壮支持。 * 增强“生成安全补丁”预览功能。 **准备好测试你的代码了吗？** 🔗 [aegisplay.net](https://aegisplay.net)

标签：AI辅助分析, CISA项目, DNS 反向解析, Rust程序, SaaS, SAST, Web报告查看器, 云安全监控, 代码安全审计, 盲注攻击, 静态分析