ralfboltshauser/zurich-verity

# Zurich Verity 为智能体软件时代提供持续的安全验证。 Zurich Verity 将新代码转化为带有作用域限制的、Docker 隔离的安全验证，并提供证据、风险评分以及可供负责人直接使用的修复方案。其运作原则很简单：在有风险的代码进入生产环境之前，必须先对安全发现进行验证。 [产品演示文稿](assets/presentation/zurich-verity_good-boys.pdf) · [技术架构](assets/technical/zurich-verity_good-boys_technical-summary.pdf) · [视频文字稿](assets/video/zurich-verity_good-boys-transcript.md) · [原型概念验证](docs/live-prototype-proof.md) · [完整评估报告](reports/full-lab-security-assessment.md)  ## Zurich Verity 的功能 | 功能 | 产出 | 位置 | | --- | --- | --- | | Docker 验证测试工具 | 在具有明确作用域控制的隔离运行器中执行主动测试。 | [harness/](harness/) | | Smithers 编排 | 自主验证遵循一个持久的循环：作用域、测试、证据、风险、修复、重测。 | [smithers/](smithers/) | | 实时 PR 工作流 | 可以通过智能体分析、Docker 验证、PR 评论和修复指南来审查 Pull requests。 | [prototype/live-pr-review/](prototype/live-pr-review/) | | 有据可查的报告 | 安全发现包含受影响的资产、验证证据、影响和修复指南。 | [reports/](reports/) | | 产品和技术资料 | 产品演示文稿、架构概述、幻灯片图片和视频文字稿。 | [assets/](assets/) | | 生产环境设计说明 | 架构、安全模型、推出计划以及业务/技术概述。 | [docs/](docs/) | ## 产品截图     ## 重要性 现代团队的开发和部署速度很快，但安全验证往往来得太晚，仅仅作为告警出现，而且缺乏证据。Verity 改变了这种运作模式： - **证据优先：** 每一项发现都关联了命令、响应、工件、时间戳和复现步骤。 - **设计即安全：** 主动测试在 Docker 内运行，并受到明确的作用域限制。 - **对开发者友好：** 报告明确了资产、所有者、影响、修复方案和重测步骤。 - **贴近生产环境：** 验证可以从 Pull requests、main 分支合并、定时扫描或手动目标中触发。 - **具备风险意识：** 产出结果对工程团队和管理层的风险视图都极具价值。 ## 可用原型 Zurich Verity 已被证明是一个可作为 Pull request 安全审查工作流的解决方案： - 演示仓库： - 已验证的 PR： - 已验证的 Action 运行记录： - 包含的实现代码：[prototype/live-pr-review/](prototype/live-pr-review/) 该演示会打开一个包含不安全代码的 PR，在自托管的 Ubuntu 运行器上运行 Smithers，使用 Docker 隔离的 Codex 安全分析步骤，通过 Docker 验证工具确认问题，并编写一条有据可查的 PR 评论。 ## 架构 ``` flowchart TD A[Pull request] --> E[Validation triggers] B[Main merge] --> E C[Scheduled scan] --> E D[Manual objective] --> E E --> F[Verity control plane] F --> G[Smithers orchestration] G --> H[Scope policy] G --> I[Docker runner] G --> J[Evidence store] G --> K[Risk model] G --> L[Retest check] H <--> I I <--> J J <--> K K <--> L F --> M[GitHub comments] F --> N[Issues] F --> O[Proof pack] F --> P[Leadership risk view] ``` ## 评估结果 验证环境包含四个限定作用域的服务： | 服务 | 角色 | 主要结果 | | --- | --- | --- | | `customer-api.acme.local` | 客户 API v2 | 严重的未经身份验证的凭据暴露和管理员接管路径。 | | `devops-hub.acme.local` | Gitea 代码中心 | 匿名仓库访问、薄弱的开发者凭据、机密信息、密钥以及内部拓扑结构暴露。 | | `apex-markets.acme.local` | 电子商务应用 | SQL 注入、JWT 绕过、XXE、访问控制失效、XSS、优惠券欺诈和数据暴露。 | | `portal.acme.local` | 内部运营门户 | 凭据跳转和内部操作泄露。 | 此次评估产生了 **63 项有据可查的安全发现**。精选的高影响违规路径记录在 [reports/executive-summary.md](reports/executive-summary.md) 中，完整的评估结果保存在 [reports/full-lab-security-assessment.md](reports/full-lab-security-assessment.md) 中。 ## 运行测试工具 该测试工具的设计使得主动测试在 Docker 内运行，而不是直接在宿主机上运行。 ``` cd harness/docker docker compose run --rm verity-runner bash ``` 在运行器内部，在执行验证命令之前，请先设置目标代理和作用域文件： ``` export HTTP_PROXY=http://host.docker.internal:8081 export HTTPS_PROXY=http://host.docker.internal:8081 export VERITY_SCOPE=/workspace/harness/policies/scope.allowlist.example ``` 本仓库包含测试工具的基础架构和工作流定义。证据和报告存储在 [reports/](reports/) 目录下。 ## 仓库布局 ``` zurich-verity/ assets/ product deck, technical summary, slides, and video transcript docs/ architecture, security model, rollout plan, and product overview harness/ Docker runner, scope policy, and execution guardrails smithers/ autonomous red-team workflow definition prototype/ working live PR review prototype and demo proof reports/ executive report, technical findings, full assessment, evidence notes ``` ## 作者 - Ralf Boltshauser - Samuel Huber - Marco Pagano

标签：DevSecOps, Docker隔离测试, Maven, 上游代理, 持续集成安全, 漏洞验证, 特征库, 自动化攻击, 请求拦截, 逆向工具