constantin-jais/wrench-db-inspect
GitHub: constantin-jais/wrench-db-inspect
面向 PostgreSQL 的数据库安全检查工具,从 schema 和 migrations 中提取 RLS、grants 等安全审计证据供 CI 和合规使用。
Stars: 0 | Forks: 0
# wrench-db-inspect
**层** : Wrench
**角色** : SQL/Postgres/RLS/grants/migrations/pgvector 检查
**deployment_class** : factory-only
**成熟度** : dojo — CLI 已通过 fixtures 迁移;产品级 gate 的集成尚待决定
**在 DoD 链条中的位置** : 将 SQL schema 和 migrations 转换为可被 CI、审查和 Bolt 使用的 DB 证据。
**原则** : 仅作证据,绝不作为持久事实;专注于 DB,但不充当 vault 或 ORM。
**自主性** : 兼容 MIT/Apache/MPL 许可证;版本化链条中不含 AGPL/SSPL。
## 功能说明
审计敏感的 Postgres 层面:RLS、grants、migrations、pgvector 并生成报告。该工具是一项专项证据;下一个阶段是将其作为基于 SQL 产品的 gate 采用。
## 集成位置
- 上游 : Rumble/Postgres 产品的 migrations 和 schema。
- 下游 : CI、[bolt-cos-matic](https://github.com/constantin-jais/bolt-cos-matic)、[gear-depot](https://github.com/constantin-jais/gear-depot)(如果报告成为 artifacts)。
- 契约/证据 : SQL fixtures、JSON 报告、发布 SBOM/provenance。
[](https://github.com/constantin-jais/wrench-db-inspect/actions/workflows/ci.yml)
[](https://github.com/constantin-jais/wrench-db-inspect/actions/workflows/security.yml)
[](https://github.com/constantin-jais/wrench-db-inspect/actions/workflows/release.yml)
[](LICENSE)
## 内部试用 (Dogfooding)
本仓库是 forge 内部试用闭环的一部分:生态系统应使用自身的工具,使规范、成熟度、契约、发布和产品文档变得可观测。
当前可见的证据:
- CI、发布和安全工作流对检查 CLI 层面进行了演练;
- README 的成熟度说明保持了 CI-gate 就绪状态和集成限制的透明;
- fixtures 和契约界定了 RLS、grants、migration 和 pgvector 的检查行为。
预期的下一步证据:
- 发布示例检查报告;
- 将 fail-closed 数据库案例作为契约 fixtures 展示。
内部试用声明必须由可见的命令、fixtures、CI 工作流、生成的报告或链接的文档提供支持。
## Forge 角色
`wrench-db-inspect` 是一项 Wrench 检查能力。它为 Rumble 产品和 Bolt 工作流提供具体的数据库安全证据,而不是让产品代码默默掌控 RLS、grants、migration 或 pgvector 审计逻辑。
## 边界
它不能成为 vault、secrets manager、产品 UX 或通用的检查大脑。编排留在 Bolt;持久化记忆和 artifact 存储留在 Gear;产品工作流留在 Rumble。
## 目的
`wrench-db-inspect` 是生态系统中的专用数据库检查器。它审计面向 Postgres 的系统,并为 CI、审查和合规性生成可操作的证据。
它的存在是因为数据库安全涉及足够深的专业领域,理应拥有专属工具,而不是隐藏在通用检查器中。它与 `wrench-inspect` 的区分在于范围,而非层级:两者都属于 Wrench 工具,但 `wrench-inspect` 负责通用检查,而 `wrench-db-inspect` 专攻深度的数据库安全规则。
## 负责内容
- SQL、migration、RLS、grants 和 schema 检查。
- 面向 Postgres/pgvector 的安全检查。
- 对 CI 友好的报告和审计证据。
- 针对数据库的特定策略验证。
## 不负责内容
- 数据库/安全范围之外的通用结构检查:属于 `wrench-inspect`。
- 产品 UX:属于 Rumble 产品;本仓库不是 vault 或 secrets manager。
- 长期记忆基础:属于 `gear-memory`。
- 编排或修复决策:属于 Bolt。
## 允许的依赖关系
- 可被 `bolt-cos-matic` 作为 gate 调用。
- 可将报告输出到 Gear memory 或 CI artifacts。
- 可补充 `wrench-inspect` 而非替代它。
## 产品愿景挑战
`wrench-db-inspect` 不能与 vault 应用混淆。它的产品是数据库信任证据,而不是面向用户的安全存储。
先前的 `vault-inspector` 名称已被弃用;请避免为该工具重新引入 vault/secrets 相关术语。
标签:PostgreSQL, SQL, 多线程, 数据库, 文档结构分析, 测试用例, 系统审计, 行级安全, 通知系统