constantin-jais/wrench-db-inspect

GitHub: constantin-jais/wrench-db-inspect

面向 PostgreSQL 的数据库安全检查工具,从 schema 和 migrations 中提取 RLS、grants 等安全审计证据供 CI 和合规使用。

Stars: 0 | Forks: 0

# wrench-db-inspect **层** : Wrench **角色** : SQL/Postgres/RLS/grants/migrations/pgvector 检查 **deployment_class** : factory-only **成熟度** : dojo — CLI 已通过 fixtures 迁移;产品级 gate 的集成尚待决定 **在 DoD 链条中的位置** : 将 SQL schema 和 migrations 转换为可被 CI、审查和 Bolt 使用的 DB 证据。 **原则** : 仅作证据,绝不作为持久事实;专注于 DB,但不充当 vault 或 ORM。 **自主性** : 兼容 MIT/Apache/MPL 许可证;版本化链条中不含 AGPL/SSPL。 ## 功能说明 审计敏感的 Postgres 层面:RLS、grants、migrations、pgvector 并生成报告。该工具是一项专项证据;下一个阶段是将其作为基于 SQL 产品的 gate 采用。 ## 集成位置 - 上游 : Rumble/Postgres 产品的 migrations 和 schema。 - 下游 : CI、[bolt-cos-matic](https://github.com/constantin-jais/bolt-cos-matic)、[gear-depot](https://github.com/constantin-jais/gear-depot)(如果报告成为 artifacts)。 - 契约/证据 : SQL fixtures、JSON 报告、发布 SBOM/provenance。 [![CI](https://static.pigsec.cn/wp-content/uploads/repos/cas/99/993938d8ce5e902ccfb9d6747725c320d855dea3235ed9a304cedf0d94c9321f.svg)](https://github.com/constantin-jais/wrench-db-inspect/actions/workflows/ci.yml) [![Security](https://static.pigsec.cn/wp-content/uploads/repos/cas/51/5138cdb0145abb48ac3230567bd99162785aadb0d5aba2c0be62d49091422d8b.svg)](https://github.com/constantin-jais/wrench-db-inspect/actions/workflows/security.yml) [![Release](https://static.pigsec.cn/wp-content/uploads/repos/cas/6f/6f2f6dc0a521d2a1edc7ab9af6fd65562e443f8dc572c529efc55b1c8dbcbb8a.svg)](https://github.com/constantin-jais/wrench-db-inspect/actions/workflows/release.yml) [![License: MIT](https://img.shields.io/badge/License-MIT-yellow.svg)](LICENSE) ## 内部试用 (Dogfooding) 本仓库是 forge 内部试用闭环的一部分:生态系统应使用自身的工具,使规范、成熟度、契约、发布和产品文档变得可观测。 当前可见的证据: - CI、发布和安全工作流对检查 CLI 层面进行了演练; - README 的成熟度说明保持了 CI-gate 就绪状态和集成限制的透明; - fixtures 和契约界定了 RLS、grants、migration 和 pgvector 的检查行为。 预期的下一步证据: - 发布示例检查报告; - 将 fail-closed 数据库案例作为契约 fixtures 展示。 内部试用声明必须由可见的命令、fixtures、CI 工作流、生成的报告或链接的文档提供支持。 ## Forge 角色 `wrench-db-inspect` 是一项 Wrench 检查能力。它为 Rumble 产品和 Bolt 工作流提供具体的数据库安全证据,而不是让产品代码默默掌控 RLS、grants、migration 或 pgvector 审计逻辑。 ## 边界 它不能成为 vault、secrets manager、产品 UX 或通用的检查大脑。编排留在 Bolt;持久化记忆和 artifact 存储留在 Gear;产品工作流留在 Rumble。 ## 目的 `wrench-db-inspect` 是生态系统中的专用数据库检查器。它审计面向 Postgres 的系统,并为 CI、审查和合规性生成可操作的证据。 它的存在是因为数据库安全涉及足够深的专业领域,理应拥有专属工具,而不是隐藏在通用检查器中。它与 `wrench-inspect` 的区分在于范围,而非层级:两者都属于 Wrench 工具,但 `wrench-inspect` 负责通用检查,而 `wrench-db-inspect` 专攻深度的数据库安全规则。 ## 负责内容 - SQL、migration、RLS、grants 和 schema 检查。 - 面向 Postgres/pgvector 的安全检查。 - 对 CI 友好的报告和审计证据。 - 针对数据库的特定策略验证。 ## 不负责内容 - 数据库/安全范围之外的通用结构检查:属于 `wrench-inspect`。 - 产品 UX:属于 Rumble 产品;本仓库不是 vault 或 secrets manager。 - 长期记忆基础:属于 `gear-memory`。 - 编排或修复决策:属于 Bolt。 ## 允许的依赖关系 - 可被 `bolt-cos-matic` 作为 gate 调用。 - 可将报告输出到 Gear memory 或 CI artifacts。 - 可补充 `wrench-inspect` 而非替代它。 ## 产品愿景挑战 `wrench-db-inspect` 不能与 vault 应用混淆。它的产品是数据库信任证据,而不是面向用户的安全存储。 先前的 `vault-inspector` 名称已被弃用;请避免为该工具重新引入 vault/secrets 相关术语。
标签:PostgreSQL, SQL, 多线程, 数据库, 文档结构分析, 测试用例, 系统审计, 行级安全, 通知系统