rajatbhatia1998/secure-review

GitHub: rajatbhatia1998/secure-review

一款基于 LangGraph 多 Agent 编排的开源代码库审计与安全扫描工具,结合离线 SAST 与 LLM 深度分析实现全方位代码质量评估。

Stars: 1 | Forks: 0

# AI Secure Review 🛡️ AI Secure Review 是一款强大、开源的多 Agent 代码库审计器和安全扫描器。它使用 **LangGraph 驱动的编排引擎**,将分析工作负载分配给专门的 AI Agent,以扫描本地文件中的漏洞、逻辑缺陷、清单依赖项、架构模式和文档缺失。 它包含一个离线 SAST 引擎(通过 Bandit),并启动一个发光的、交互式的 React dashboard,直接由内置的 FastAPI 后端提供服务。 ## 🚀 核心功能 * **多 Agent 编排**:将代码库审计分配给专门的、并行的 Agent: * 🔒 **Security Agent**:扫描 OWASP Top 10 漏洞、硬编码的 secrets 和注入缺陷。 * 🐛 **Bug Agent**:审查代码中的逻辑错误、内存泄漏、未关闭的资源句柄和竞态条件。 * 📦 **Dependency Agent**:审计项目清单文件(如 `requirements.txt`、`package.json`),查找过时或不安全的库。 * 🏛️ **Architecture Agent**:评估结构耦合、内聚、SOLID 原则违规和设计模式。 * 📝 **Documentation Agent**:检查 docstring、注释,并验证仓库 `README.md` 的健康度。 * **混合分析**:将极速的离线 SAST 启发式算法与基于 LLM 的深度逻辑检查相结合。 * **内置 React Dashboard**:启动一个现代、暗色主题的 UI,由 Python 包在本地提供服务。 * **描述性遥测**:显示当前正在运行的 Agent 以及它正在审计的确切文件。 * **多 Provider 支持**:兼容 Groq (GroqCloud)、OpenAI、Google Gemini、Anthropic (Claude)、Ollama (Local) 和 LM Studio。 ## 📦 安装说明 强烈建议在虚拟环境中运行此包,以防止依赖冲突。 ### 1. 设置虚拟环境 **在 Windows 上:** ``` python -m venv venv .\venv\Scripts\activate ``` **在 macOS / Linux 上:** ``` python3 -m venv venv source venv/bin/activate ``` ### 2. 安装包 通过 pip 安装 AI Secure Review: ``` pip install secure-review ``` ### 对于开发者(从源码构建) 克隆仓库并使用我们的构建脚本自动编译该包: ``` # Clone the repository git clone https://github.com/rajatbhatia1998/secure-review.git cd secure-review # 运行一键编译(需要 Python build dependencies & npm) .\build.bat # 安装生成的 package pip install dist\secure_review-1.0.0-py3-none-any.whl ``` ## 🛠️ 命令指南 AI Secure Review 安装了全局控制台命令 `secure-review`。 ### 1. Doctor(系统诊断) 验证您的本地环境依赖(Git、Bandit),并确认您配置的 LLM provider 具有活动的互联网连接、正确的凭据和足够的 api 限制: ``` secure-review doctor ``` ### 2. 交互式 Shell 启动核心应用程序: ``` secure-review ``` 执行此命令会自动: 1. 在端口 `8000` 上启动 FastAPI 后端守护进程。 2. 启动您的默认 Web 浏览器并指向 [http://localhost:8000/](http://localhost:8000/)。 3. 在您的终端中进入**交互式命令控制台**。 ## 💻 交互式 Shell 命令 在 CLI shell 内部,您可以输入 `/help` 来查看所有活动的控制台钩子: | 命令 | 描述 | | :--- | :--- | | `/review` | 扫描当前代码库文件夹 `.`) | | `/review -p PATH` | 扫描特定的代码库文件夹 | | `/dashboard` | 在您的默认浏览器中重新打开 React Web dashboard | | `/config` | 交互式配置活动的 LLM provider 和 API 密钥 | | `/providers` | 查询当前活动的 LLM 配置并检查连接 | | `/doctor` | 运行系统工具可用性检查和连接测试 | | `/clear` | 清除控制台屏幕 | | `/help` | 打印 shell 文档 | | `/exit` 或 `/quit` | 终止交互式会话和后端守护进程 | ## 💻 Web Dashboard 操作 当扫描运行时,React dashboard 会展示: * **工作流进展**:与后端 LangGraph 运行同步的实时节点图。 * **Agent 遥测**:动态详情,解释当前哪个 Agent 正在读取哪个文件。 * **一键重新扫描**:在更新本地文件或清单依赖项后,只需单击即可重试扫描。 * **修复建议**:在 IDE 语法主题块中显示技术解释和代码修复建议。 ## 📄 许可证 基于 MIT 许可证分发。详情请参阅 `LICENSE`。
标签:AI多智能体, LangGraph, SAST, 代码质量分析, 盲注攻击, 逆向工具, 静态代码扫描