guacsec/trustify

GitHub: guacsec/trustify

Trustify 是一个开源的软件供应链安全平台,用于在大规模场景下集中存储、关联和查询 SBOM 与安全公告,帮助团队高效应对组件漏洞风险。

Stars: 60 | Forks: 46

# Trustify [![CI](https://static.pigsec.cn/wp-content/uploads/repos/cas/99/993938d8ce5e902ccfb9d6747725c320d855dea3235ed9a304cedf0d94c9321f.svg)](https://github.com/guacsec/trustify/actions/workflows/ci.yaml) [![License](https://img.shields.io/badge/license-Apache--2.0-blue.svg)](LICENSE) [![GitHub Release](https://img.shields.io/github/v/release/guacsec/trustify)](https://github.com/guacsec/trustify/releases) **开源的软件供应链安全平台。** Trustify 将 SBOM、漏洞公告和 VEX 文档整合到一个统一的可搜索系统中——让您能在几分钟而非几天内了解软件的构成并应对威胁。 ## 为什么选择 Trustify | | | |---|---| | **统一的 SBOM 管理** | 在一个地方摄入、存储和搜索 CycloneDX 和 SPDX SBOM | | **漏洞情报** | 将 SBOM 与来自 Red Hat、GHSA、NVD 和 OSV 的公告进行交叉比对 | | **VEX 支持** | 利用供应商的漏洞可利用性数据 (CSAF/VEX) 减少告警疲劳 | | **内置导入器** | 自动获取并保持与公共漏洞源的同步 | | **REST API 和 Web UI** | 包含 OpenAPI 规范的完整 API,以及现代化的 Web 界面 | | **单一二进制文件部署** | 一个二进制文件,一个 PostgreSQL 数据库——无需管理复杂的 microservice | ## 实际效果 ![Trustify Sboms](https://static.pigsec.cn/wp-content/uploads/repos/cas/61/6181438e0a0c829d1fee819adac78242beec3148658ed4864fbef53bf809d180.png) ![Trustify Importers](https://static.pigsec.cn/wp-content/uploads/repos/cas/40/4015b6434a29e393ed13e0ed57b24ccb451ed3798d5e95ec4ff7a9726a280424.png) ## 快速开始 ### 选项 1:下载发布版本 从 [Releases](https://github.com/guacsec/trustify/releases) 下载最新的 `trustd-pm` 二进制文件,然后: ``` AUTH_DISABLED=true ./trustd-pm ``` ### 选项 2:从源码构建 ``` AUTH_DISABLED=true cargo run --bin trustd ``` 这将以“PM 模式”启动 Trustify——会在当前目录的 `.trustify/` 文件夹中创建一个内嵌的 PostgreSQL 数据库。无需外部设置。 - **Web UI:** http://localhost:8080 - **REST API:** http://localhost:8080/openapi/ ### 加载示例数据 ``` cd etc/datasets && make curl -X POST http://localhost:8080/api/v3/dataset --data-binary @ds1.zip \ -H "Content-Type: application/zip" ``` ## 关键概念 | 术语 | 在 Trustify 中的含义 | |------|--------------------------| | **SBOM** | 软件物料清单 (CycloneDX 或 SPDX),描述软件产品中的组件 | | **Advisory** | 安全公告(例如来自 NVD、Red Hat、GHSA),描述特定包中的漏洞 | | **VEX** | 供应商可利用性交换——供应商关于某漏洞是否实际影响其产品的声明 | | **pURL** | 包 URL——一种在不同生态中标识软件包的标准方式 | | **CPE** | 通用平台枚举——用于产品的标识符,常用于 NVD 公告 | | **CVE** | 公开披露的安全漏洞的唯一标识符 | ## 生态系统 | 仓库 | 描述 | |------------|-------------| | [trustify-ui](https://github.com/guacsec/trustify-ui) | Web 界面 | | [trustify-helm-charts](https://github.com/guacsec/trustify-helm-charts) | 用于 Kubernetes 部署的 Helm charts | | [trustify-mcp](https://github.com/guacsec/trustify-mcp) | 用于 AI/LLM 集成的 MCP server | | [trustify-load-test-runs](https://github.com/guacsec/trustify-load-test-runs) | 规模测试运行器及[结果](https://guacsec.github.io/trustify-scale-test-runs/) | | [scale-testing](https://github.com/guacsec/scale-testing) | 规模测试套件 | | [trustify-release-tools](https://github.com/guacsec/trustify-release-tools) | 发布自动化工具 | ## 架构 Trustify 采用 [modulith](https://dzone.com/articles/architecture-style-modulith-vs-microservices) 架构——由 PostgreSQL 支持的单个可部署二进制文件。 - 用于摄入和查询供应链数据的 **REST API** - 按计划获取公共漏洞源的 **内置导入器** - 支持 SBOM、advisory、VEX、pURL 和 CPE 的 **可扩展数据模型** - 带有可选开发/测试绕过功能的 **OIDC 身份验证** ![Architecture](https://static.pigsec.cn/wp-content/uploads/repos/cas/fd/fd8011dbea806b908fcc51fcf4d33a7ebf67be0d790cddd3c5b8441d1472e6b2.png) ## License Apache-2.0——详情请参阅 [LICENSE](LICENSE)。
标签:GPT, PostgreSQL, Rust, SBOM分析, Svelte, 可视化界面, 测试用例, 漏洞管理, 网络流量审计, 网络测绘, 软件供应链安全, 远程方法调用, 通知系统