lrdeoliveira/security-audit-framework
GitHub: lrdeoliveira/security-audit-framework
一套基于 Prompt 驱动的安全审计框架,通过四阶段方法论和 CI/CD 集成,系统化地对 Web、基础设施及 AI/LLM 系统进行渗透测试与持续安全审计。
Stars: 0 | Forks: 0
# 安全审计框架
用于 Web 应用、基础设施以及包含 **AI / LLM / MCP** 系统的安全审计框架(辅助渗透测试)。基于 prompt 与自动化构建,由 4 个核心支柱及 1 个编排器组成。
## 概述
| 支柱 | 文件夹 | 目标 | 阶段 |
|-------|-------|----------|------|
| **Orquestrador (编排器)** | `00-orquestrador/` | 规划范围、执行顺序和交付物 | 审计前 |
| **1. Descobrir (发现)** | `01-descobrir/` | 绘制技术栈、攻击面和 AI 组件 | 阶段 1 |
| **2. Analisar (分析)** | `02-analisar/` | 审查代码、配置和 IaC (SAST) | 阶段 2 |
| **3. Validar (验证)** | `03-validar/` | 确认可利用性(DAST, Red Team, AI) | 阶段 3–4 |
| **4. Entregar (交付)** | `04-entregar/` | 记录文档、确定修复优先级并自动化进行重新测试 | 阶段 5 |
| **Templates (模板)** | `templates/` | 发现项的 schema 和报告结构 | 贯穿全局 |
| **CI/CD** | `ci-cd/` | 持续审计 Pipeline (GitHub Actions) | 贯穿全局 |
完整的切入点位于 [`AUDITORIA.md`](AUDITORIA.md)。
## 流程
```
bootstrap-scan → plano de ataque → descobrir → analisar → validar → entregar
↑__________ reteste __________|
```
1. **Orquestrador (编排器)** — `00-orquestrador/plano-de-ataque-em-5-fases.md` 确定测试范围;`bootstrap-scan.sh` 运行 Semgrep、Gitleaks、TruffleHog、Trivy、osv-scanner、Checkov 和 mcp-scan,并对结果进行汇总。
2. **Descobrir / Analisar / Validar (发现 / 分析 / 验证)** — 每个类别包含约 35 个 prompt(auth、injection、path-traversal/SSRF、secrets、crypto、XSS、CORS/CSRF/headers、logging、deserialization、IaC、MCP;针对 AI:prompt-injection、guardrails、RAG、excessive-agency、output handling — LLM05、denial-of-wallet — LLM10)。
3. **Entregar (交付)** — 报告、按 sprint 划分的修复 roadmap、合规性映射(LGPD/SOC2/ISO 27001/ASVS)以及针对每个发现项的重新测试计划。
每个确认的发现项都会以 YAML 格式记录,遵循
[`templates/registro-de-achado.yaml`](templates/registro-de-achado.yaml)
(id、严重程度、CVSS 3.1、OWASP、CWE、位置、PoC、影响、修复方案、重新测试)。
## CI/CD
`ci-cd/security-audit.yml` 是一个用于持续审计的 GitHub Actions 模板:它会运行各类 scanner,在发现 **CRITICAL**(严重)问题时中断构建,并将 SARIF 发送至 Code Scanning。请将其复制到目标 repository 的 `.github/workflows/` 目录下。
## 结合 Agent 使用 (Claude Code)
本 repository 包含一个可端到端执行该框架的 skill:
[`.claude/skills/security-audit`](.claude/skills/security-audit/SKILL.md)。
在 Claude Code 中打开此 repository(或目标 repository,且已安装此 skill)后,您可以输入类似 *"对这个项目进行安全审计"* 的指令 —— 该 skill 会确认授权、界定范围、运行 `bootstrap-scan`,按顺序遍历各个支柱,并将发现的内容汇总到 YAML schema 中。若仅需审查当前的 diff,请使用原生的 `/security-review`。
## 负责任的使用
本方法论仅供**已获授权的安全测试**使用:自有系统审计、签订正式书面授权的测试委托、安全研究以及教育目的。请勿在未获得明确许可的情况下,将其用于针对任何系统的测试。
## 许可证
[MIT](LICENSE) © 2026 Luciano de Oliveira
标签:CISA项目, DAST, DLL 劫持, StruQ, Web报告查看器, 大语言模型, 安全审计框架, 恶意软件分析, 错误基检测, 静态代码分析