ronaldgosso/sentinel

# Sentinel - AI 驱动的安全强化

[](https://badge.fury.io/py/sentinel-scanner) [](https://github.com/ronaldgosso/sentinel/actions) [](https://github.com/ronaldgosso/sentinel/pkgs/container/sentinel) [](https://www.gnu.org/licenses/gpl-3.0) **Sentinel** 是一款开发者优先的 CLI 工具，能够发现 Python 项目中的安全漏洞并提供 AI 驱动的修复方案——所有操作均在一个交互式终端 dashboard 中完成。 ## 功能 - **SAST** - 检测 SQLi、XSS、命令注入、硬编码密钥和不安全的加密方式。 - **SCA** - 针对 OSV.dev 和 NVD 检查依赖项。 - **DAST** - 可选地测试运行中的 Web 应用。 - **AI 增强** (Mistral) - 重新评估严重程度，解释攻击场景，并提供修复建议。 - **交互式 TUI** - 无需再搜索 JSON 日志。 - **自动修复** - 应用安全的修复措施。 - **CI/CD 就绪** - 支持 GitHub Action、Docker 和 PyPI。 ## 快速开始 ``` # 安装 pip install sentinel-scanner # 扫描 sentinel scan . # 使用 AI（从 Mistral AI 获取免费密钥） export MISTRAL_API_KEY=your-key sentinel scan . --ai ``` 如需获取完整文档，请访问 [Sentinel 文档](https://ronaldgosso.github.io/sentinel)。 ## 漏洞检测与离线修复 Sentinel 在离线模式下完全开箱即用。如果未配置 AI API 密钥 (Mistral) 或本地 Ollama 实例，Sentinel 仍会将发现的问题直接映射到既定的安全修复协议[...] | 漏洞类型 | CWE | 描述 | 标准修复协议 | | :--- | :--- | :--- | :--- | | **SQL 注入 (SQLi)** | [CWE-89](https://cwe.mitre.org/data/definitions/89.html) | 将不受信任的用户输入直接拼接到 SQL 查询字符串中。 | 使用参数化查询 (预编译语句)[...] | **跨站脚本攻击 (XSS)** | [CWE-79](https://cwe.mitre.org/data/definitions/79.html) | 在 HTML 模板或输出中渲染不受信任的用户输入而未进行转义。 | 移除危险的原始[...] | **命令注入** | [CWE-78](https://cwe.mitre.org/data/definitions/78.html) | 通过带有动态字符串和 `shell=True` 的 subprocess 调用来执行 OS 命令。 | 禁用 shell 执行 (`s[...] | **硬编码密钥** | [CWE-798](https://cwe.mitre.org/data/definitions/798.html) | 将密码、API token、密钥和私有凭证直接存储在源代码中。 | 移动所有配置[...] | **不安全的加密** | [CWE-326](https://cwe.mitre.org/data/definitions/326.html) | 使用弱或不推荐的哈希算法（如 MD5 或 SHA-1）以及弱加密算法。 | 升级加密系统[...] | **过时的依赖项** | [CWE-1395](https://cwe.mitre.org/data/definitions/1395.html) | 导入了包含发布在 OSV.dev 和 NVD 数据库中的已知 CVE 的软件包。 | 锁定安全的依赖项[...] ## 分发与运行 - **PyPI**: `pip install sentinel-scanner` - **Docker**: 在容器化环境中运行 Sentinel（详情请参阅 [Docker README](docker/README.md)）： docker run --rm -v $(pwd):/app ghcr.io/ronaldgosso/sentinel:latest scan . - **GitHub Action**: 使用 `uses: ronaldgosso/sentinel-action@v1` 集成到您的 workflow 中。 ## GitHub Actions / CI/CD Workflows 本仓库使用自动化的 GitHub Actions workflows 来维护代码质量、构建 Docker 镜像、发布 PyPI 版本以及托管文档网站： | Workflow | 文件 | 触发条件 | 描述 | | :--- | :--- | :--- | :--- | | **持续集成 (CI)** | [ci.yml](.github/workflows/ci.yml) | 推送/PR 至 `main` 分支 | 运行测试、Ruff (代码检查) 和 Mypy (类型检查)，以确保代码在合并前符合质量标准[...] | **发布至 PyPI** | [pypi-publish.yml](.github/workflows/pypi-publish.yml) | 推送标签 `v*.*.*` | 首先运行质量检查。如果成功，则构建 wheels 并发布分发包[...] | **构建并发布 Docker** | [docker-build.yml](.github/workflows/docker-build.yml) | 推送至 `main` 分支、`v*` 标签或 PyPI 发布成功 | 自动化构建优化的多阶段 Python wheel Docker[...] | **部署文档** | [docs.yml](.github/workflows/docs.yml) | 推送至 `main` 分支 | 将 `website/` 文件夹中的静态文件直接部署至 GitHub Pages：[https://ronaldgosso.github.io/sentinel](h[...] ## 项目文档与实用指南 Check out these documents to learn more about developing, building, and contributing to Sentinel: * **[Docker Guide](docker/README.md)** - 有关通过 Docker 运行 Sentinel、传递环境变量（如 API 密钥）以及导出报告的详细信息。 * **[贡献指南](CONTRIBUTING.md)** - 有关仓库设置、添加自定义 SAST/AST 检测器、运行测试以及 Pull Request/发布流程的指南。 * **[产品路线图](ROADMAP.md)** - 计划在未来版本（v1.1、v1.2 和 v2.0）中推出的功能概览。 * **[安全政策](SECURITY.md)** - 关于如何私下报告安全漏洞的说明。 * **[行为准则](CODE_OF_CONDUCT.md)** - 确保社区友好氛围的行为标准。 ## 许可证 本项目基于 **GPLv3** 许可证授权。详情请参阅 [LICENSE](LICENSE) 文件。 ## 社区与社交 在 GitHub、Twitter/X 和 LinkedIn 上使用这些吸引人的标签分享您的 **Sentinel** 之旅并传播出去： * **全球科技与应用安全**: `#Cybersecurity` `#AppSec` `#DevSecOps` `#PythonSecurity` `#AISecurity` `#OpenSource` `#StaticAnalysis` * **坦桑尼亚与非洲科技**: `#TanzaniaTech` `#SiliconDar` `#TechInTanzania` `#TanzaniaDevelopers` `#CodingInTanzania` `#AfricaTech`

标签：AI辅助修复, AI风险缓解, CISA项目, LNA, Python, SAST, 插件系统, 无后门, 盲注攻击, 请求拦截, 逆向工具, 错误基检测, 静态代码分析