fendora-io/sieve-action

GitHub: fendora-io/sieve-action

Sieve 是一个无需配置的 GitHub Action,利用 AI 在 Pull Request 上自动扫描安全漏洞并过滤误报。

Stars: 6 | Forks: 1

# Sieve 安全扫描 · GitHub Action **AI 驱动的 Pull Request 安全扫描器。** Sieve 能发现真正的漏洞并抑制误报 —— 让你的团队专注于真正重要的问题。 ## 用法 ``` name: Security Scan on: pull_request: types: [opened, synchronize, reopened] issue_comment: types: [created] permissions: contents: read pull-requests: write jobs: sieve: runs-on: ubuntu-latest steps: - uses: actions/checkout@v4 - uses: fendora-io/sieve-action@v1.3.0 ``` 就是这样 —— 无需设置,无需 API 密钥,也无需任何配置。 ## 输入项 | 输入项 | 必填 | 默认值 | 描述 | |-------|----------|---------|-------------| | `repo-alias` | | repo name | 用于扫描结果中的简称 | | `fail-on-findings` | | `true` | 如果发现真正的漏洞,则使检查失败 | | `github-token` | | `github.token` | 用于发布 PR 评论的 Token | ## 输出项 | 输出项 | 描述 | |--------|-------------| | `total` | 扫描到的发现总数 | | `flagged` | Sieve 认定可能为真实的发现 | | `scan-id` | 本次扫描的唯一 ID | ## PR 评论示例 当 Sieve 发现问题时,它会在 PR 上发布一条评论: ``` ## Sieve Security Scan ⚠️ 2 finding(s) flagged as likely real — the rest were suppressed as false positives. | Rule | File | Line | Score | Feedback | |--------------------|--------------------|------|-------|----------| | `sql-injection` | `src/db/query.js` | 42 | 0.94 | 👍 👎 | | `subprocess-shell` | `scripts/build.py` | 18 | 0.81 | 👍 👎 | 2 real · 14 suppressed · 16 total ``` 👍 / 👎 链接可让你将每个发现标记为真实的漏洞或误报。你的反馈将被匿名存储,并用于随时间推移改进模型。 当未发现问题时: ``` ## Sieve Security Scan ✅ No likely vulnerabilities found. 0 real · 9 suppressed · 9 total ``` ## 不中断构建 ``` - uses: fendora-io/sieve-action@v1.3.0 with: fail-on-findings: "false" ``` ## 数据与隐私 当你使用此 action 时,以下信息将被发送至 Sieve 服务器进行分析: - 安全发现中的文件路径、行号、规则 ID 以及匹配到的代码片段 - 你的 repo 别名(默认为 GitHub repo name) **绝不存储的内容:** 完整源文件、原始文件路径或原始代码片段。 **可能会在服务器端存储的内容**(已匿名化,用于模型改进):规则 ID、SHA-256 哈希处理后的文件路径、置信度分数、预测标签以及你通过 👍/👎 链接提交的任何反馈 —— 不包含任何代码。 有关数据处理的疑问,请联系:**contact@fendora.io** ## 联系方式 如有疑问或反馈,请联系:**contact@fendora.io** ## 许可证 Apache 2.0 — 请参阅 [LICENSE](LICENSE) © 2026 Fendora UG (haftungsbeschränkt)
标签:AI, DevSecOps, GitHub Action, 上游代理, 自动化代码审查, 静态应用安全测试