LeeHueeng/privit-aegis-workspace

GitHub: LeeHueeng/privit-aegis-workspace

该项目是一个授权被动式 Web 安全测试控制台,集成了 CLI、Web 界面、本地化报告、AI 修复建议和 CI 质量门禁,帮助团队在安全合规前提下高效完成 Web 应用安全评估。

Stars: 1 | Forks: 0

# Privit Aegis Workspace

AIGate GitHub Pages Passive by default Multilingual

한국어 · English · 日本語 · 中文 · GitHub Pages

Privit Aegis Workspace 是一个针对 Privit Web 应用程序的安全测试控制台。它在一个代码库中集成了 Aegis CLI、本地 Web 控制台、被动站点发现、确定性 Web 安全检查、本地化报告、AI 辅助修复提示以及 AIGate 推送就绪检查。 本项目专为获批的资产构建。它默认以被动方式运行,受范围保护,旨在准确展示已检查的内容、通过的内容、失败的内容以及保留的证据。

Privit Aegis console and report preview

## 在线文档 - 启用 Pages 后的公共项目站点: - 安全扫描指南:[`docs/security-scanning.md`](./docs/security-scanning.md) - 安全基线:[`docs/security-hardening-baseline.md`](./docs/security-hardening-baseline.md) - AI 集成:[`docs/ai-integration.md`](./docs/ai-integration.md) - 公共 CLI 引擎: - GitHub 工作流安全:[`docs/github-security-hardening.md`](./docs/github-security-hardening.md) - GitHub Pages 设置:[`docs/github-pages.md`](./docs/github-pages.md) - 展示:[`docs/SHOWCASE.md`](./docs/SHOWCASE.md) - 示例:[`docs/EXAMPLES.md`](./docs/EXAMPLES.md) - 架构:[`docs/ARCHITECTURE.md`](./docs/ARCHITECTURE.md) - 检测矩阵:[`docs/DETECTION_MATRIX.md`](./docs/DETECTION_MATRIX.md) - 常见问题解答:[`docs/FAQ.md`](./docs/FAQ.md) - 隐私与数据处理:[`docs/PRIVACY_AND_DATA.md`](./docs/PRIVACY_AND_DATA.md) - 威胁模型:[`docs/THREAT_MODEL.md`](./docs/THREAT_MODEL.md) - 安全演示范围:[`docs/SAFE_SCOPE_TEMPLATE.md`](./docs/SAFE_SCOPE_TEMPLATE.md) - 发布流程:[`docs/RELEASE_PROCESS.md`](./docs/RELEASE_PROCESS.md) - 发布检查清单:[`docs/LAUNCH_CHECKLIST.md`](./docs/LAUNCH_CHECKLIST.md) - 语言索引:[`docs/LANGUAGES.md`](./docs/LANGUAGES.md) ## 快速开始 ``` npm run setup npm run web ``` 打开 `http://127.0.0.1:4317` 以查看范围设置、运行检查,并查看最新的本地化 HTML 报告。 ## 60 秒演示 ``` npm run site:check npm run security:map npm run security:target npm run security:report npm run security:penetration ``` Web 控制台在浏览器中运行相同的流程并实时显示进度,同时 CLI 保持了命令的可复制性,以便用于 CI、文档和审查。 ## 安全检查 Aegis 保持默认工作流的低影响性: - 生成安全检查目录并验证授权范围。 - 发现同范围的路由、链接、表单、身份验证接口、sitemap 条目以及被阻止的 URL。 - 审查浏览器安全标头、身份验证缓存状态、cookies、表单、类重定向参数、API 接口、GraphQL/OpenAPI/OIDC/JWKS 元数据、CORS/CSP 质量、SRI、混合内容、bundle 泄露以及敏感的公开文件。 - 生成 HTML 报告以及列出已执行检查、通过标准和脱敏证据的渗透/安全测试报告。 所有配置的检查默认都是被动的。发现过程仅遵循白名单中的主机和路径,不提交表单,也不运行暴力破解或破坏性测试。 ## 质量门禁 ``` npm run site:check npm run security:audit npm run security:hardening npm run ci:aegis npm run gate:ready ``` `AIGate` 专用于 git push 和 CI 质量门禁。本地 Web 控制台专注于 Aegis 操作,例如目录生成、范围验证、发现、目标咨询检查、本地化报告和渗透报告。 ## AI 助手 ``` npm run ai:integrate npm run ai:doctor npm run ai:report npm run ai:model:show npm run ai:model:check npm run ai:settings:show ``` Codex、Gemini、Claude、本地 AI 和直接 API 提供商共享相同的范围和交接模型。AI 不决定被动扫描结果;它支持配置检查、提供商就绪状态、修复提示以及可选的 AIGate AI 报告。 ## 仓库结构 - `scripts/`:本地控制台、报告本地化、安全检查、AI 设置、GitHub 就绪状态和报告生成助手。 - `docs/`:安全指南、多语言人类/AI 指南、路线图和 Pages 文档。 - `docs/pages/`:GitHub Pages 静态站点。 - `.github/workflows/`:固定的 CI 和 GitHub Pages 工作流。 - `catalog/`:生成的 Aegis 安全检查目录。 ## GitHub Pages Pages 站点通过 `.github/workflows/pages.yml` 从 `docs/pages` 部署。该工作流使用 GitHub Pages Actions 并具有最低权限:`contents: read`、`pages: write` 和 `id-token: write`。 有关激活命令和部署说明,请参见 [`docs/github-pages.md`](./docs/github-pages.md)。 ## 安全模型 本仓库仅用于授权的安全测试。请勿添加生产凭据、实时支付路径、破坏性操作或第三方系统,除非在 `aegis.scope.json` 中记录了书面授权。报告前会对密钥、cookies、tokens、密码、API keys、私钥、电子邮件地址和支付标识符进行脱敏处理。 请使用 [`aegis.scope.example.json`](./aegis.scope.example.json) 作为安全的公开演示范围。将私有或预发布目标保留在本地未提交的 scope 文件中。 ## 贡献 欢迎提交 Issues、功能想法、文档改进以及经过仔细范围界定的安全检查。请从 [`CONTRIBUTING.md`](./CONTRIBUTING.md) 开始,默认保持更改的被动性,并在提交 PR 之前运行本地质量门禁。 有关支持边界,请参阅 [`SUPPORT.md`](./SUPPORT.md)。
标签:AI修复, MITM代理, Snort++, Web安全, 安全报告, 安全测试, 攻击性安全, 暗色界面, 自定义脚本, 蓝队分析, 被动扫描