Metincloup/bounty-program-finder

GitHub: Metincloup/bounty-program-finder

一款仅用于发现的命令行工具和 Agent 技能,帮助安全研究人员从多个平台中查找、过滤和排名漏洞赏金项目。

Stars: 0 | Forks: 0

# 赏金项目查找器 `bounty-program-finder` 是一个仅用于发现的 Agent Skill 和 CLI,用于查找、过滤、排名和解释可能对后续安全研究有用的漏洞赏金项目。 它专注于具有明确范围数据、有用的赏金/响应信号以及 GitHub 仓库候选者的项目。它**不**进行扫描、模糊测试、漏洞利用、自动克隆仓库、运行目标代码或提交报告。 ## 它的功能 - 从公开的赏金目标数据集中加载漏洞赏金项目种子数据。 - 将 HackerOne、Bugcrowd、Intigriti 和 YesWeHack 记录标准化为一个 schema。 - 在可能的情况下,使用 GitHub 仓库元数据丰富候选目标。 - 检查官方项目页面的可达性作为来源信号。 - 使用可解释的配置(如 `oss_audit`、`max_payout` 和 `fast_response`)对项目进行排名。 - 生成 Markdown 和稳定的 JSON,以便在后续的审计工作流中使用。 - 保持严格的安全边界:种子数据或推断数据绝不会被视为授权。 ## 安全模型 此项目仅用于目标发现和分类。 - 除非官方项目范围确认,否则请勿将仓库或资产视为已授权。 - 不要仅基于此工具的输出测试、扫描、模糊测试、利用或联系生产系统。 - 在进行任何审计工作之前,请保留并审查所有范围外和排除文本。 - 基于种子数据的候选目标的默认授权状态为 `candidate_verification_required`。 ## 快速开始 不需要第三方 Python 依赖。 ``` python3 skills/bounty-program-finder/scripts/bounty_program_finder.py \ --query "List popular bounty programs with in-scope open-source GitHub repositories" \ --profile auto \ --limit 10 \ --format both ``` 在本地安装或更新 Codex skill: ``` python3 tools/install_codex_skill.py --force ``` 可重复的 JSON 过滤运行: ``` python3 skills/bounty-program-finder/scripts/bounty_program_finder.py \ --filters-json '{"require_github": true, "bounty_only": true}' \ --profile oss_audit \ --limit 10 \ --format json ``` ## CLI 选项 ``` python3 skills/bounty-program-finder/scripts/bounty_program_finder.py --help ``` 常用标志: - `--query`:自然语言发现请求。 - `--filters-json`:精确的过滤对象;显式过滤器会覆盖推断的查询过滤器。 - `--profile`:`auto`、`balanced`、`oss_audit`、`max_payout`、`fast_response`、`popular` 或 `low_noise`。 - `--limit`:要返回的丰富记录数量。 - `--format`:`markdown`、`json` 或 `both`。 - `--refresh`:绕过缓存。 - `--require-github`:要求至少有一个 GitHub 仓库候选者。 - `--include-private`:如果数据中可访问,则包含私人/仅限邀请的记录。 ## 可选环境变量 凭据是可选的,仅从环境变量中读取: - `GITHUB_TOKEN` - `HACKERONE_USERNAME` - `HACKERONE_TOKEN` - `BUGCROWD_TOKEN_ID` - `BUGCROWD_TOKEN_SECRET` - `INTIGRITI_TOKEN` - `YESWEHACK_ACCESS_TOKEN` Token 值不会写入输出、测试、生成的包或提交的文件中。 ## Skill 布局 ``` skills/bounty-program-finder/ ├── SKILL.md ├── agents/openai.yaml ├── references/ └── scripts/bounty_program_finder.py ``` 规划文档位于 `planning/` 下,特意置于 skill 包之外。 ## 测试 运行测试套件: ``` python3 -m unittest discover -s tests ``` 运行语法检查: ``` python3 -m py_compile \ skills/bounty-program-finder/scripts/bounty_program_finder.py \ tools/package_claude_skill.py \ tools/install_codex_skill.py ``` 打包兼容 Claude 的 zip: ``` python3 tools/package_claude_skill.py ``` 安装或更新本地 Codex skill: ``` python3 tools/install_codex_skill.py --force ``` ## 当前状态 v1 可用于以下发现: - 公开种子数据, - GitHub 元数据丰富, - 官方页面可达性检查, - 可解释的排名, - Markdown 和 JSON 输出, - 通用审计交接字段。 深度的官方 API 适配器计划在下一步推出。请参阅 `planning/06-next-steps-roadmap.md`。 ## 公开发布说明 - `.cache/`、`dist/`、`.env*`、生成的字节码、zip 文件和私人提示文件夹将被忽略。 - 不要提交本地缓存数据或私人项目输出。 - 该项目在 MIT 许可证下发布。
标签:数据聚合, 文档结构分析, 目标发现, 逆向工具