servasec/servasec

GitHub: servasec/servasec

servasec 是一个开源 ASPM 平台,用于将多种安全扫描器的结果聚合到统一仪表板中进行漏洞分流、跟踪和修复管理。

Stars: 6 | Forks: 0

servasec

servasec

License Release GitHub Stars CI Discord

**应用安全态势管理 (ASPM)** 平台,将 SAST/DAST/SCA 扫描器的扫描结果聚合到统一的仪表板中,用于对整个应用资产中的安全漏洞进行分流、跟踪和修复。 ## 功能 | 功能 | 免费版 | 专业版 | |---------|:----:|:---:| | 结果管理与生命周期 | ✓ | ✓ | | 包含丰富统计数据的仪表板 | ✓ | ✓ | | 团队协作 | ✓ | ✓ | | Webhook 通知 | ✓ | ✓ | | RBAC | ✓ | ✓ | | 资源级权限 | ✓ | ✓ | | 扫描器接入 (Semgrep, Trivy 等) | ✓ | ✓ | | 版本对比 | ✓ | ✓ | | SSO / OIDC (计划中) | ? | ✓ | | 审计日志 | | ✓ | | MCP Server | | ✓ | | SLA 管理 (计划中) | | ✓ | | 高级报告 (计划中) | | ✓ | ## 快速开始 ``` cp .env.example .env # 编辑 secrets (JWT_SECRET, REFRESH_SECRET, CSRF_SECRET, SSC_ADMIN_PASSWORD) make prod # 大功告成!访问 https://servasec.local ``` 默认管理员:`admin` / 密码来自 `SSC_ADMIN_PASSWORD`(如果未设置则为随机十六进制字符串,请查看后端 container 的日志 ;) )。 ## 扫描器支持 请查看 https://docs.servasec.com/scanners/overview/ 获取支持的扫描器完整列表。 ## 环境变量 请参见 https://docs.servasec.com/getting-started/configuration/ ## 许可证 **servasec** 采用双重许可: - **AGPLv3** - 免费、开源。包含所有标准功能。 - **商业许可证** - 使用专业功能(审计日志、MCP、SLA 管理、高级报告)必需。 请参见 [`LICENSE`](./LICENSE) 和 [`COMMERCIAL_LICENSE.md`](./COMMERCIAL_LICENSE.md)。 ## 开发 ``` # 启动支持 hot-reload 的 dev stack make dev # 查看日志 make logs # 停止 make down ``` 需要:Docker, Docker Compose, `make`。
标签:ASPM, DevSecOps, EVTX分析, GPT, HTTPX, 上游代理, 安全运营, 应用安全态势管理, 扫描框架, 漏洞管理, 版权保护, 请求拦截