fendora-io/sieve-action
GitHub: fendora-io/sieve-action
Sieve 是一个无需配置的 GitHub Action,利用 AI 在 Pull Request 上自动扫描安全漏洞并过滤误报。
Stars: 6 | Forks: 1
# Sieve 安全扫描 · GitHub Action
**AI 驱动的 Pull Request 安全扫描器。** Sieve 能发现真正的漏洞并抑制误报 —— 让你的团队专注于真正重要的问题。
## 用法
```
name: Security Scan
on:
pull_request:
types: [opened, synchronize, reopened]
issue_comment:
types: [created]
permissions:
contents: read
pull-requests: write
jobs:
sieve:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- uses: fendora-io/sieve-action@v1.3.0
```
就是这样 —— 无需设置,无需 API 密钥,也无需任何配置。
## 输入项
| 输入项 | 必填 | 默认值 | 描述 |
|-------|----------|---------|-------------|
| `repo-alias` | | repo name | 用于扫描结果中的简称 |
| `fail-on-findings` | | `true` | 如果发现真正的漏洞,则使检查失败 |
| `github-token` | | `github.token` | 用于发布 PR 评论的 Token |
## 输出项
| 输出项 | 描述 |
|--------|-------------|
| `total` | 扫描到的发现总数 |
| `flagged` | Sieve 认定可能为真实的发现 |
| `scan-id` | 本次扫描的唯一 ID |
## PR 评论示例
当 Sieve 发现问题时,它会在 PR 上发布一条评论:
```
## Sieve Security Scan ⚠️
2 finding(s) flagged as likely real — the rest were suppressed as false positives.
| Rule | File | Line | Score | Feedback |
|--------------------|--------------------|------|-------|----------|
| `sql-injection` | `src/db/query.js` | 42 | 0.94 | 👍 👎 |
| `subprocess-shell` | `scripts/build.py` | 18 | 0.81 | 👍 👎 |
2 real · 14 suppressed · 16 total
```
👍 / 👎 链接可让你将每个发现标记为真实的漏洞或误报。你的反馈将被匿名存储,并用于随时间推移改进模型。
当未发现问题时:
```
## Sieve Security Scan ✅
No likely vulnerabilities found.
0 real · 9 suppressed · 9 total
```
## 不中断构建
```
- uses: fendora-io/sieve-action@v1.3.0
with:
fail-on-findings: "false"
```
## 数据与隐私
当你使用此 action 时,以下信息将被发送至 Sieve 服务器进行分析:
- 安全发现中的文件路径、行号、规则 ID 以及匹配到的代码片段
- 你的 repo 别名(默认为 GitHub repo name)
**绝不存储的内容:** 完整源文件、原始文件路径或原始代码片段。
**可能会在服务器端存储的内容**(已匿名化,用于模型改进):规则 ID、SHA-256 哈希处理后的文件路径、置信度分数、预测标签以及你通过 👍/👎 链接提交的任何反馈 —— 不包含任何代码。
有关数据处理的疑问,请联系:**contact@fendora.io**
## 联系方式
如有疑问或反馈,请联系:**contact@fendora.io**
## 许可证
Apache 2.0 — 请参阅 [LICENSE](LICENSE)
© 2026 Fendora UG (haftungsbeschränkt)
标签:AI, DevSecOps, GitHub Action, 上游代理, 自动化代码审查, 静态应用安全测试