Metincloup/bounty-program-finder
GitHub: Metincloup/bounty-program-finder
一款仅用于发现的命令行工具和 Agent 技能,帮助安全研究人员从多个平台中查找、过滤和排名漏洞赏金项目。
Stars: 0 | Forks: 0
# 赏金项目查找器
`bounty-program-finder` 是一个仅用于发现的 Agent Skill 和 CLI,用于查找、过滤、排名和解释可能对后续安全研究有用的漏洞赏金项目。
它专注于具有明确范围数据、有用的赏金/响应信号以及 GitHub 仓库候选者的项目。它**不**进行扫描、模糊测试、漏洞利用、自动克隆仓库、运行目标代码或提交报告。
## 它的功能
- 从公开的赏金目标数据集中加载漏洞赏金项目种子数据。
- 将 HackerOne、Bugcrowd、Intigriti 和 YesWeHack 记录标准化为一个 schema。
- 在可能的情况下,使用 GitHub 仓库元数据丰富候选目标。
- 检查官方项目页面的可达性作为来源信号。
- 使用可解释的配置(如 `oss_audit`、`max_payout` 和 `fast_response`)对项目进行排名。
- 生成 Markdown 和稳定的 JSON,以便在后续的审计工作流中使用。
- 保持严格的安全边界:种子数据或推断数据绝不会被视为授权。
## 安全模型
此项目仅用于目标发现和分类。
- 除非官方项目范围确认,否则请勿将仓库或资产视为已授权。
- 不要仅基于此工具的输出测试、扫描、模糊测试、利用或联系生产系统。
- 在进行任何审计工作之前,请保留并审查所有范围外和排除文本。
- 基于种子数据的候选目标的默认授权状态为 `candidate_verification_required`。
## 快速开始
不需要第三方 Python 依赖。
```
python3 skills/bounty-program-finder/scripts/bounty_program_finder.py \
--query "List popular bounty programs with in-scope open-source GitHub repositories" \
--profile auto \
--limit 10 \
--format both
```
在本地安装或更新 Codex skill:
```
python3 tools/install_codex_skill.py --force
```
可重复的 JSON 过滤运行:
```
python3 skills/bounty-program-finder/scripts/bounty_program_finder.py \
--filters-json '{"require_github": true, "bounty_only": true}' \
--profile oss_audit \
--limit 10 \
--format json
```
## CLI 选项
```
python3 skills/bounty-program-finder/scripts/bounty_program_finder.py --help
```
常用标志:
- `--query`:自然语言发现请求。
- `--filters-json`:精确的过滤对象;显式过滤器会覆盖推断的查询过滤器。
- `--profile`:`auto`、`balanced`、`oss_audit`、`max_payout`、`fast_response`、`popular` 或 `low_noise`。
- `--limit`:要返回的丰富记录数量。
- `--format`:`markdown`、`json` 或 `both`。
- `--refresh`:绕过缓存。
- `--require-github`:要求至少有一个 GitHub 仓库候选者。
- `--include-private`:如果数据中可访问,则包含私人/仅限邀请的记录。
## 可选环境变量
凭据是可选的,仅从环境变量中读取:
- `GITHUB_TOKEN`
- `HACKERONE_USERNAME`
- `HACKERONE_TOKEN`
- `BUGCROWD_TOKEN_ID`
- `BUGCROWD_TOKEN_SECRET`
- `INTIGRITI_TOKEN`
- `YESWEHACK_ACCESS_TOKEN`
Token 值不会写入输出、测试、生成的包或提交的文件中。
## Skill 布局
```
skills/bounty-program-finder/
├── SKILL.md
├── agents/openai.yaml
├── references/
└── scripts/bounty_program_finder.py
```
规划文档位于 `planning/` 下,特意置于 skill 包之外。
## 测试
运行测试套件:
```
python3 -m unittest discover -s tests
```
运行语法检查:
```
python3 -m py_compile \
skills/bounty-program-finder/scripts/bounty_program_finder.py \
tools/package_claude_skill.py \
tools/install_codex_skill.py
```
打包兼容 Claude 的 zip:
```
python3 tools/package_claude_skill.py
```
安装或更新本地 Codex skill:
```
python3 tools/install_codex_skill.py --force
```
## 当前状态
v1 可用于以下发现:
- 公开种子数据,
- GitHub 元数据丰富,
- 官方页面可达性检查,
- 可解释的排名,
- Markdown 和 JSON 输出,
- 通用审计交接字段。
深度的官方 API 适配器计划在下一步推出。请参阅 `planning/06-next-steps-roadmap.md`。
## 公开发布说明
- `.cache/`、`dist/`、`.env*`、生成的字节码、zip 文件和私人提示文件夹将被忽略。
- 不要提交本地缓存数据或私人项目输出。
- 该项目在 MIT 许可证下发布。
标签:数据聚合, 文档结构分析, 目标发现, 逆向工具