rajatbhatia1998/secure-review
GitHub: rajatbhatia1998/secure-review
一款基于 LangGraph 多 Agent 编排的开源代码库审计与安全扫描工具,结合离线 SAST 与 LLM 深度分析实现全方位代码质量评估。
Stars: 1 | Forks: 0
# AI Secure Review 🛡️
AI Secure Review 是一款强大、开源的多 Agent 代码库审计器和安全扫描器。它使用 **LangGraph 驱动的编排引擎**,将分析工作负载分配给专门的 AI Agent,以扫描本地文件中的漏洞、逻辑缺陷、清单依赖项、架构模式和文档缺失。
它包含一个离线 SAST 引擎(通过 Bandit),并启动一个发光的、交互式的 React dashboard,直接由内置的 FastAPI 后端提供服务。
## 🚀 核心功能
* **多 Agent 编排**:将代码库审计分配给专门的、并行的 Agent:
* 🔒 **Security Agent**:扫描 OWASP Top 10 漏洞、硬编码的 secrets 和注入缺陷。
* 🐛 **Bug Agent**:审查代码中的逻辑错误、内存泄漏、未关闭的资源句柄和竞态条件。
* 📦 **Dependency Agent**:审计项目清单文件(如 `requirements.txt`、`package.json`),查找过时或不安全的库。
* 🏛️ **Architecture Agent**:评估结构耦合、内聚、SOLID 原则违规和设计模式。
* 📝 **Documentation Agent**:检查 docstring、注释,并验证仓库 `README.md` 的健康度。
* **混合分析**:将极速的离线 SAST 启发式算法与基于 LLM 的深度逻辑检查相结合。
* **内置 React Dashboard**:启动一个现代、暗色主题的 UI,由 Python 包在本地提供服务。
* **描述性遥测**:显示当前正在运行的 Agent 以及它正在审计的确切文件。
* **多 Provider 支持**:兼容 Groq (GroqCloud)、OpenAI、Google Gemini、Anthropic (Claude)、Ollama (Local) 和 LM Studio。
## 📦 安装说明
强烈建议在虚拟环境中运行此包,以防止依赖冲突。
### 1. 设置虚拟环境
**在 Windows 上:**
```
python -m venv venv
.\venv\Scripts\activate
```
**在 macOS / Linux 上:**
```
python3 -m venv venv
source venv/bin/activate
```
### 2. 安装包
通过 pip 安装 AI Secure Review:
```
pip install secure-review
```
### 对于开发者(从源码构建)
克隆仓库并使用我们的构建脚本自动编译该包:
```
# Clone the repository
git clone https://github.com/rajatbhatia1998/secure-review.git
cd secure-review
# 运行一键编译(需要 Python build dependencies & npm)
.\build.bat
# 安装生成的 package
pip install dist\secure_review-1.0.0-py3-none-any.whl
```
## 🛠️ 命令指南
AI Secure Review 安装了全局控制台命令 `secure-review`。
### 1. Doctor(系统诊断)
验证您的本地环境依赖(Git、Bandit),并确认您配置的 LLM provider 具有活动的互联网连接、正确的凭据和足够的 api 限制:
```
secure-review doctor
```
### 2. 交互式 Shell
启动核心应用程序:
```
secure-review
```
执行此命令会自动:
1. 在端口 `8000` 上启动 FastAPI 后端守护进程。
2. 启动您的默认 Web 浏览器并指向 [http://localhost:8000/](http://localhost:8000/)。
3. 在您的终端中进入**交互式命令控制台**。
## 💻 交互式 Shell 命令
在 CLI shell 内部,您可以输入 `/help` 来查看所有活动的控制台钩子:
| 命令 | 描述 |
| :--- | :--- |
| `/review` | 扫描当前代码库文件夹 `.`) |
| `/review -p PATH` | 扫描特定的代码库文件夹 |
| `/dashboard` | 在您的默认浏览器中重新打开 React Web dashboard |
| `/config` | 交互式配置活动的 LLM provider 和 API 密钥 |
| `/providers` | 查询当前活动的 LLM 配置并检查连接 |
| `/doctor` | 运行系统工具可用性检查和连接测试 |
| `/clear` | 清除控制台屏幕 |
| `/help` | 打印 shell 文档 |
| `/exit` 或 `/quit` | 终止交互式会话和后端守护进程 |
## 💻 Web Dashboard 操作
当扫描运行时,React dashboard 会展示:
* **工作流进展**:与后端 LangGraph 运行同步的实时节点图。
* **Agent 遥测**:动态详情,解释当前哪个 Agent 正在读取哪个文件。
* **一键重新扫描**:在更新本地文件或清单依赖项后,只需单击即可重试扫描。
* **修复建议**:在 IDE 语法主题块中显示技术解释和代码修复建议。
## 📄 许可证
基于 MIT 许可证分发。详情请参阅 `LICENSE`。
标签:AI多智能体, LangGraph, SAST, 代码质量分析, 盲注攻击, 逆向工具, 静态代码扫描