Bmsandoval/vigil
GitHub: Bmsandoval/vigil
Vigil 是一款本地运行的漏洞情报 CLI 工具,通过精确解析 lockfile 并匹配公开漏洞公告,以低误报率告知开发者哪些新 CVE 真正影响其本地代码仓库。
Stars: 0 | Forks: 0
# Vigil
**适用于您仓库的本地优先漏洞情报。**
Vigil 会监控您保存在磁盘上的 git 仓库,在 SQLite 中维护公开漏洞公告(OSV、CISA KEV、NVD)的本地镜像,并以清晰的依据和极低的误报率告知您——最新披露的漏洞是否实际影响了您已检出的代码。
这不是 SIEM、SOC 或云产品。一切都在您的机器上本地运行。只有在刷新公告时才会访问网络;扫描完全在离线下工作。
## 快速开始
```
make setup # install deps, scaffold config + store
# 编辑 ~/.config/vigil/config.toml(参见 config.example.toml)
make run ARGS=refresh # sync the advisory mirror (only networked step)
make run ARGS=scan # inventory repos + report findings (offline)
make run ARGS=status
```
## 命令
| 命令 | 用途 |
|---|---|
| `vigil init` | 生成 `config.toml` 并初始化 SQLite 存储 |
| `vigil service add/list` | 管理 Vigil 监控的磁盘仓库 |
| `vigil refresh` | 同步公告镜像(OSV/KEV/NVD)—— 唯一需要联网的命令 |
| `vigil scan` | 盘点受监控的仓库并报告发现的漏洞(离线) |
| `vigil status` | 显示服务、公告镜像时长、以及按严重程度划分的未决漏洞 |
## 核心设计简介
OSV 是匹配的核心骨干;KEV 补充了漏洞利用情况,NVD 补充了 CVSS。匹配主要由 **lockfile**(精确解析出的版本)驱动,并且每项发现都包含一个正交的 **严重程度 × 置信度** 评分——这是抵御误报的主要手段。目前作为 Go CLI 构建,其架构设计使其未来能够平滑升级为桌面应用而无需重写。
完整的工程设计请参阅 [docs/DESIGN.md](docs/DESIGN.md)。
## 许可证
Apache License 2.0 —— 详见 [LICENSE](LICENSE)。
标签:EVTX分析, Go, Ruby工具, XSS, 依赖安全, 日志审计, 本地优先, 漏洞情报