Wildkatze/appsec-demo-goat
GitHub: Wildkatze/appsec-demo-goat
一个故意包含 SAST、SCA、IaC、密钥及 LLM 治理等多维度漏洞的微型支付 API,用于演示和验证 AI 平台安全扫描 agent 的检测能力。
Stars: 0 | Forks: 0
# appsec-demo-goat 🐐
一个在每个扫描器最喜欢的方面都存在漏洞的微型“支付 API” —— 用于
演示 AI 平台的开发时安全审查 agent (`aiplatform.appsec`)。
| 范围 | 位置 | 内容 |
|---|---|---|
| SAST | `app/db.py`, `app/api.py` | SQL injection、命令注入、`shell=True` |
| SCA | `requirements.txt` | 锁定在具有已知 CVE 的版本上 |
| IaC | `infra/storage.tf`, `infra/Dockerfile` | 公开存储、TLS1.0、root container |
| Secret | `config/settings.py` | 硬编码的(虚假)API 密钥 |
| 治理 (§4-G) | `app/agent.py` | 直接导入 `openai`,无安全 / 审计上下文 |
标签:CISA项目, DevSecOps, SAST测试靶场, StruQ, 上游代理, 安全测试, 攻击性安全, 故意漏洞应用, 请求拦截, 逆向工具