OrionJDev/sentineljs
GitHub: OrionJDev/sentineljs
SentinelJS 是一款零依赖、纯浏览器端运行的静态代码安全扫描器,通过内置规则库快速检测多种语言源码中的常见安全漏洞并提供修复建议。
Stars: 0 | Forks: 0
# 🛡️ SentinelJS
**一款完全在您的浏览器中运行的静态代码安全扫描器。** 粘贴代码,即可获得即时的漏洞报告——包括注入风险、硬编码的 secrets、弱加密、XSS sinks 等——每一项都附带通俗易懂的解释和具体的修复方案。
🔗 **[实时演示 →](https://orionjdev.github.io/sentineljs/)**
  
## 为什么开发它
当前软件领域最热门的交汇点无疑是 **AI + 安全** —— 前沿模型让专家级的代码审计成为了科技界最引人瞩目的话题。SentinelJS 正是对这一领域的实践:它是一个真实、可用的漏洞扫描器,展示了对那些至关重要的*缺陷类别*的精通,并且在零依赖、零服务器的条件下构建而成。
它不是对某个 API 的简单封装。它是一个真正的静态分析引擎——与 [Semgrep](https://semgrep.dev/) 和 [Bandit](https://bandit.readthedocs.io/) 属于同一类工具,只不过经过了精简,并实现了即时运行。
## 功能特性
- **27+ 条漏洞规则**,涵盖六大类别:
- **Secrets** — AWS keys、private keys、硬编码的密码、JWTs
- **注入** — SQL 注入、OS 命令注入、`eval()`/`exec()`、不安全的反序列化
- **XSS / DOM** — `innerHTML`、`dangerouslySetInnerHTML`、`document.write()`、开放重定向
- **加密** — `Math.random()` 滥用、MD5/SHA-1、DES/RC4/ECB
- **传输 / 配置** — 纯 HTTP、禁用的 TLS 验证、完全开放的 CORS、debug 模式
- **杂项** — 原型链污染、敏感数据日志记录、未解决的安全 TODOs
- **多语言** — JavaScript/TypeScript、Python、PHP、Java,支持**自动检测**
- **A–F 安全评分**,并提供基于严重程度的权重明细
- **每一条发现都能自我解释** — 它是什么、*为什么*有危险、如何修复,以及它的 [CWE](https://cwe.mitre.org/) 标识符
- **100% 客户端运行** — 没有网络调用,没有数据收集,任何信息都不会离开您的设备。离线打开文件依然可以运行。
## 工作原理
SentinelJS 会在浏览器中针对您的源代码运行一套基于模式的检测规则库。每条规则都包含严重程度、正则表达式/启发式匹配器、解释、修复建议以及 CWE 标签。检测结果会经过去重、按严重程度排序并打分。
```
paste code → detect language → run applicable rules → score & explain
```
无需构建步骤。无需框架。仅凭一个 `index.html` 文件。
## 诚实的局限性
静态分析能够快速捕捉许多**常见且真实存在**的缺陷——但它并不能证明绝对安全:
- 它可能会**遗漏**那些需要理解跨文件数据流的上下文相关 bug。
- 它可能会产生**误报** —— 即在您的特定环境中实际上是安全的模式。
请将 SentinelJS 视为快速的**初审工具**,而非安全保证。对安全性要求极高的代码仍然需要人工审查和完整的工具链(SAST、依赖扫描、CI 中的 secrets 扫描)。
## 本地运行
它是一个单一的静态文件 —— 无需安装:
```
git clone https://github.com/OrionJDev/sentineljs.git
cd sentineljs
# 在任何 browser 中打开 index.html,或者:
python3 -m http.server 8000 # then visit http://localhost:8000
```
## 许可证
MIT — 详见 [LICENSE](LICENSE)。
由 [**OrionJDev**](https://github.com/OrionJDev) 构建 · 属于 AI/软件工程作品集的一部分。
标签:GraphQL安全矩阵, 前端工具, 后端开发, 多模态安全, 安全专业人员, 安全扫描器, 数据可视化, 错误基检测, 零依赖, 静态代码分析