l3montree-dev/devguard

通过 Matrix-Chat 直接与开发者取得联系

访问文档：https://devguard.org ## 使命 DevGuard 由开发者构建，服务于开发者，旨在简化复杂的漏洞管理世界。我们的目标是将安全无缝集成到软件开发生命周期中，确保每个人都能轻松高效地进行安全实践，无论其安全专业知识如何。 ### 演示 我们正在使用 DevGuard 来扫描和管理 DevGuard 本身的风险——本质上是在“吃我们自己的狗粮”。该项目可以在这里找到： [演示](https://main.devguard.org/l3montree-cybersecurity/projects/devguard) 我们认为 VEX 信息应该通过链接共享，因为其具有动态性，今天无风险的内容明天可能会受到 CVE 的影响。我们已将 DevGuard 风险评分集成到指标中，其计算方法的详细文档即将推出。SBOM 和 VEX 数据在这些链接中始终保持最新： https://api.main.devguard.org/api/v1/organizations/l3montree-cybersecurity/projects/devguard/assets/devguard/refs/main/artifacts/pkg%3Aoci%2Fdevguard%3Frepository_url%3Dghcr.io%2Fl3montree-dev%2Fdevguard/vex.json/ |项目|SBOM|VeX| |---|---|---| |[Devguard Golang API](https://github.com/l3montree-dev/devguard)|[SBOM](https://api.main.devguard.org/api/v1/organizations/l3montree-cybersecurity/projects/devguard/assets/devguard/refs/main/artifacts/pkg%3Aoci%2Fdevguard%3Frepository_url%3Dghcr.io%2Fl3montree-dev%2Fdevguard/sbom.json/)|[VeX](https://api.main.devguard.org/api/v1/organizations/l3montree-cybersecurity/projects/devguard/assets/devguard/refs/main/artifacts/pkg%3Aoci%2Fdevguard%3Frepository_url%3Dghcr.io%2Fl3montree-dev%2Fdevguard/vex.json/)| |[Devguard Web-Frontend](https://github.com/l3montree-dev/devguard-web)|[SBOM](https://api.main.devguard.org/api/v1/organizations/l3montree-cybersecurity/projects/devguard/assets/devguard-web/refs/main/artifacts/pkg%3Aoci%2Fdevguard-web%3Frepository_url%3Dghcr.io%2Fl3montree-dev%2Fdevguard-web/sbom.json/)|[VeX](https://api.main.devguard.org/api/v1/organizations/l3montree-cybersecurity/projects/devguard/assets/devguard-web/refs/main/artifacts/pkg%3Aoci%2Fdevguard-web%3Frepository_url%3Dghcr.io%2Fl3montree-dev%2Fdevguard-web/vex.json/)| ### 我们解决的问题 识别和管理软件漏洞是一个日益严峻的挑战。开发者经常在缺乏适当培训或适合日常工作流程的工具的情况下面临安全问题。DevGuard 是一款以开发者为中心的软件，旨在提供简单、现代的漏洞检测和管理解决方案，并符合常见的安全框架。 仅在 2023 年，网络攻击就在德国造成了约 2060 亿欧元的损失。其中许多攻击利用了软件漏洞。随着敏捷开发和 DevOps 方法论成为标准，将安全性集成到开发过程中的需求从未如此迫切。我们的目标是通过 DevGuard 填补这一空白，提供将漏洞管理无缝集成到开发工作流中的解决方案。 ### DevGuard 功能 DevGuard 包含许多功能，旨在让安全软件开发对您来说尽可能简单。以下是您在使用 DevGuard 时将体验到的一些功能印象： #### 自动设置 我们开发了自动设置功能，以加快 DevGuard 集成过程。 #### 增强的风险计算 当涉及到您的实际漏洞风险时，CVSS 评分是不够的。为了帮助您根据项目的实际风险确定优先级，我们利用可利用性信息增强了 CVSS 评分，并根据您的机密性、完整性和可用性评估计算风险评分。这确保最重要的事情优先处理！ #### 依赖概览 隐晦式安全在过去可能行得通，但我们希望使用现代方法开发软件！隐晦性不应该影响您。这就是我们开发 DevGuard 的原因：为了让您对依赖项有完全的透明度，并突出显示任何漏洞。这也展示在一个精美的依赖关系图中。 ## Scanner 安装 DevGuard Scanner 可以通过多种方式安装。选择最适合您环境的方法： ### Go Install（推荐） 安装最新版本的最简单方法： ``` # 安装最新版本 go install github.com/l3montree-dev/devguard/cmd/devguard-scanner@latest # 安装特定版本 go install github.com/l3montree-dev/devguard/cmd/devguard-scanner@v1.0.0 ``` ### 预编译二进制文件 从我们的 [releases 页面](https://github.com/l3montree-dev/devguard/releases)下载预编译的二进制文件： ``` # 下载并验证（以 Linux AMD64 为例） curl -L https://github.com/l3montree-dev/devguard/releases/download/v1.0.0/devguard-scanner_1.0.0_Linux_x86_64.tar.gz -o devguard-scanner.tar.gz # 验证下载（可选但推荐） curl -L https://github.com/l3montree-dev/devguard/releases/download/v1.0.0/checksums.txt -o checksums.txt sha256sum --check --ignore-missing checksums.txt # 解压并安装 tar -xzf devguard-scanner.tar.gz sudo mv devguard-scanner /usr/local/bin/ ``` ### Docker ``` # 直接从 Docker Hub 运行 docker run --rm -v $(pwd):/app ghcr.io/l3montree-dev/devguard-scanner:latest sca /app # 先拉取镜像 docker pull ghcr.io/l3montree-dev/devguard-scanner:latest ``` ### 从源代码构建 ``` # Clone 仓库 git clone https://github.com/l3montree-dev/devguard.git cd devguard # Build 扫描器 make devguard-scanner # 或者使用 release flags 为生产环境 build make release-devguard-scanner ``` ### 安全验证 我们所有的发布都经过加密签名，并包含 SLSA Level 3 来源证明，以保障供应链安全。 **验证二进制签名：** ``` # 安装 cosign go install github.com/sigstore/cosign/v2/cmd/cosign@latest # 验证 checksums 文件签名 cosign verify-blob \ --certificate-identity-regexp="^https://github.com/l3montree-dev/devguard/.github/workflows/" \ --certificate-oidc-issuer="https://token.actions.githubusercontent.com" \ --bundle checksums.txt.sig.bundle \ checksums.txt ``` **验证容器镜像：** ``` cosign verify ghcr.io/l3montree-dev/devguard-scanner:latest \ --certificate-identity-regexp="^https://github.com/l3montree-dev/devguard/.github/workflows/" \ --certificate-oidc-issuer="https://token.actions.githubusercontent.com" ``` ### ✅ 验证安装 ``` # 检查安装是否成功 devguard-scanner --version # 获取帮助 devguard-scanner --help # 运行快速安全扫描 devguard-scanner sca --help ```

(回到顶部)

## 贡献 我们欢迎贡献！如果您想报告 Bug、提问、编写 issue 或帮助我们编写代码，请阅读我们的[贡献指南](./CONTRIBUTING.md)。所有的帮助我们都非常感激！

(回到顶部)

## 行为准则 帮助我们保持 DevGuard 的开放和包容。请阅读并遵循我们的[行为准则](CODE_OF_CONDUCT.md)。

(回到顶部)

## 构建技术 DevGuard 分为两个项目：一个前端（DevGuard Web）和一个后端（DevGuard Backend）。 **后端（本项目）：** * [][go-url] **前端：** * 请参阅：[Github 上的 DevGuard-Web](https://github.com/l3montree-dev/devguard-web)

(回到顶部)

## 许可证 根据 AGPL-3.0-or-later 许可证分发。更多信息请参见 [`LICENSE.txt`](LICENSE.txt)。

(回到顶部)

### DEVGUARD-SCANNER #### 构建扫描器 ``` docker build . -f Dockerfile.scanner -t devguard-scanner ``` #### 使用扫描器进行 SCA ``` docker run -v "$(PWD):/app" scanner devguard-scanner sca \ --assetName="" \ --apiUrl="http://host.docker.internal:8080" \ --token="" \ --path="/app" ``` #### 在开发期间使用扫描器 ``` go run ./cmd/devguard-scanner/main.go sca \ --assetName="" \ --apiUrl="http://localhost:8080" \ --token="" ``` #### 扫描容器 ##### 使用 kaniko 从 dockerfile 构建 image.tar ``` docker run --rm -v $(pwd):/workspace gcr.io/kaniko-project/executor:latest --dockerfile=/workspace/Dockerfile --context=/workspace --tarPath=/workspace/image.tar --no-push ``` ##### 扫描 .tar ``` docker run -v "$(PWD):/app" scanner devguard-scanner container-scanning \ --assetName="" \ --apiUrl="http://host.docker.internal:8080" \ --token="" \ --path="/app/image.tar" ```

标签：CI/CD安全, CVE管理, DevSecOps, EVTX分析, EVTX分析, Go语言, GPT, Llama, SBOM, SLSA, 上游代理, 代码安全, 加密, 合规即代码, 安全合规, 文档安全, 日志审计, 漏洞扫描器, 漏洞枚举, 漏洞管理, 硬件无关, 程序破解, 策略即代码, 结构化查询, 网络代理, 聊天机器人安全, 自动化安全, 证明（Attestation）, 请求拦截, 软件供应链安全, 软件开发工具包, 远程方法调用