xops-labs/relixq-oss
GitHub: xops-labs/relixq-oss
Relix-Q 是一款开源后量子密码学扫描器,帮助组织发现代码、依赖和 TLS 中易受量子计算破解的密码算法并评估迁移就绪度。
Stars: 0 | Forks: 0
# Relix-Q OSS
### 在量子计算机破解之前,找出它将要破解的密码学。
**开源的后量子密码学(PQC)扫描器。** 为会被 Shor 算法破解的**易受量子攻击的**算法(RSA、ECDSA、ECDH、DSA、Diffie-Hellman),加上已被经典计算机破解的 MD5 / SHA-1 / RC4 / DES 基线,跨**源代码、依赖项、TLS 端点、证书和配置**构建密码学清单。评估风险,为您的**密码敏捷性**评级,通过 **SARIF 2.1.0** 拦截 CI,并将每个易受量子攻击的发现指向其 **NIST 后量子替代方案** —— ML-KEM / ML-DSA (FIPS 203 / 204 / 205)。
*30+ 种语言 · 47 个规则包 · 725 条规则 · 自托管 · Apache-2.0 — **您的代码永远不会离开您的机器。***
⚛️ *“现在窃取,以后解密”已经开始:对手今天存储您受 RSA/ECC 保护的数据,以便在量子计算机出现的那天将其解密。Relix-Q 现在就会揭示这种风险。*
## 目录
- [它是什么](#what-it-is)
- [快速开始](#quick-start) — [从 CLI 扫描](#scan-from-the-cli-no-clone) · [运行 Web UI](#run-the-web-ui-docker-compose)
- [扫描范围](#what-it-scans)
- [CI 集成](#ci-integration)
- [工作原理](#how-it-works)
- [配置](#configuration)
- [本仓库范围](#scope-of-this-repo)
- [文档与社区](#docs--community)
- [License](#license)
## 它是什么
Relix-Q OSS 会扫描您的**源代码、依赖项和 TLS 端点**,以查找会被量子计算机破解的密码学(RSA、ECDSA、DH 等)以及传统意义上脆弱的基线(MD5、SHA-1、RC4、DES)。每次扫描都会生成一个**风险评分**、一个用于预测迁移成本的**密码敏捷性评级**,以及精确定位到文件和行的发现结果——这些结果可以导出为 **SARIF** 用于 CI 拦截,或者在**自托管的 Web UI** 中进行审查。您的代码永远不会离开您的机器。
## 快速开始
有两种方式:在 CI 或终端中进行快速扫描的 **CLI**,或者提供交互式仪表板的 **Web UI**。
### 从 CLI 扫描(无需克隆)
无需克隆、无需构建、无需 Docker。从
[**Releases**](https://github.com/xops-labs/relixq-oss/releases/latest) 获取适用于您平台的压缩包,解压并扫描 —
`relixq` CLI、扫描器引擎和社区规则打包在一起,因此一条
命令即可开箱即用。(请将 `0.1.0` 替换为最新的发布版本。)
**Windows (PowerShell)** — 或者使用 `.msi` 安装程序,它会将 `relixq` 添加到您的 `PATH` 中:
```
$V = "0.1.0"
irm "https://github.com/xops-labs/relixq-oss/releases/download/v$V/relixq_${V}_windows_amd64.zip" -OutFile relixq.zip
Expand-Archive relixq.zip -DestinationPath "$env:LOCALAPPDATA\RelixQ"
& "$env:LOCALAPPDATA\RelixQ\relixq.exe" scan C:\path\to\your\repo
```
**macOS / Linux** — 压缩包:`linux_amd64`, `darwin_amd64` (Intel), `darwin_arm64` (Apple Silicon):
```
V=0.1.0
curl -fsSLO "https://github.com/xops-labs/relixq-oss/releases/download/v$V/relixq_${V}_linux_amd64.tar.gz"
mkdir -p ~/relixq && tar -xzf "relixq_${V}_linux_amd64.tar.gz" -C ~/relixq
~/relixq/relixq scan /path/to/your/repo
```
**Docker** — 已发布的扫描器镜像(完全无需下载):
```
docker run --rm -v "$PWD:/src" ghcr.io/xops-labs/relixq:latest scan /src
```
后续常用的 flag:`--format sarif|json|html`, `--severity-threshold high`, `--exit-on high`
(CI 拦截), `relixq scan deps`, `relixq scan tls host:443`, `relixq version`, `relixq doctor`。
每个发布版本都提供 SHA256 校验和;容器镜像均经过 cosign 签名(参见 [`docs/RELEASE.md`](docs/RELEASE.md))。
### 运行 Web UI(Docker Compose)
一个全新的克隆只需一条命令即可实现端到端运行 —— Postgres + API + web:
```
git clone https://github.com/xops-labs/relixq-oss relix-q-oss
cd relix-q-oss
cp .env.example .env # optional — defaults work unedited
docker compose up --build # builds postgres + api + web
```
然后打开 **http://localhost:47000** 并:
1. 使用电子邮件 + 密码**注册**(一个共享工作区;无外部 IdP)。
2. **创建一个项目** —— 扫描捆绑的故意包含漏洞的示例,或粘贴公共的 Git URL。
3. **运行扫描** —— API 会加载源代码,运行扫描器引擎,并为每个发现进行评分。
4. **查看结果** —— 风险评分仪表、密码敏捷性评级、语言/算法细分以及发现结果表格。
## 扫描范围
| 表面 | 标记内容 |
|---|---|
| **源代码** | 被量子计算破解的非对称密码(RSA、ECDSA、ECDH、DSA、Ed25519、DH、JWT 算法)以及弱密码基线(MD5、SHA-1、RC4、DES、3DES、TLS 1.0/1.1、硬编码密钥),涵盖 **47 个规则包 / 725 条规则**。为 13 种语言提供正则表达式兜底 + AST 检测器(C# 通过 Roslyn)。 |
| **依赖项** | 声明的自带易受量子攻击密码的第三方包,通过内置知识库检测 —— Python / JS / Go 清单(`relixq scan deps`)。 |
| **TLS 端点** | 实时证书密钥(RSA/ECDSA/DSA)、弱协议、SHA-1 签名以及即将过期/自签名的证书(`relixq scan tls host:443`)。 |
| **证书与密钥** | 独立的 `.pem` / `.crt` / `.cer` / `.der` / `.key` 文件 —— 根据公钥和签名算法进行标记;代码片段仅携带 `-----BEGIN …-----` 标记,绝不包含密钥材料。 |
| **配置层密码** | OpenSSH(`sshd_config` / `ssh_config`:主机密钥,`KexAlgorithms`,`Ciphers`)和 nginx(`ssl_protocols`,`ssl_ciphers`)。 |
| **手写密码** | 无法通过 import 匹配的实现 —— 常量指纹包(AES S-boxes,SHA-256 常量,RSA/DH/曲线素数);≥2 个一致信号会融合为一个高严重性的 `HANDROLLED_
标签:EVTX分析, SARIF, 后量子密码学, 多人体追踪, 密码学审查, 日志审计, 测试用例, 请求拦截, 错误基检测, 静态代码分析