guacsec/trustify
GitHub: guacsec/trustify
Trustify 是一个开源的软件供应链安全平台,用于在大规模场景下集中存储、关联和查询 SBOM 与安全公告,帮助团队高效应对组件漏洞风险。
Stars: 60 | Forks: 46
# Trustify
[](https://github.com/guacsec/trustify/actions/workflows/ci.yaml)
[](LICENSE)
[](https://github.com/guacsec/trustify/releases)
**开源的软件供应链安全平台。**
Trustify 将 SBOM、漏洞公告和 VEX 文档整合到一个统一的可搜索系统中——让您能在几分钟而非几天内了解软件的构成并应对威胁。
## 为什么选择 Trustify
| | |
|---|---|
| **统一的 SBOM 管理** | 在一个地方摄入、存储和搜索 CycloneDX 和 SPDX SBOM |
| **漏洞情报** | 将 SBOM 与来自 Red Hat、GHSA、NVD 和 OSV 的公告进行交叉比对 |
| **VEX 支持** | 利用供应商的漏洞可利用性数据 (CSAF/VEX) 减少告警疲劳 |
| **内置导入器** | 自动获取并保持与公共漏洞源的同步 |
| **REST API 和 Web UI** | 包含 OpenAPI 规范的完整 API,以及现代化的 Web 界面 |
| **单一二进制文件部署** | 一个二进制文件,一个 PostgreSQL 数据库——无需管理复杂的 microservice |
## 实际效果


## 快速开始
### 选项 1:下载发布版本
从
[Releases](https://github.com/guacsec/trustify/releases) 下载最新的 `trustd-pm` 二进制文件,然后:
```
AUTH_DISABLED=true ./trustd-pm
```
### 选项 2:从源码构建
```
AUTH_DISABLED=true cargo run --bin trustd
```
这将以“PM 模式”启动 Trustify——会在当前目录的 `.trustify/` 文件夹中创建一个内嵌的 PostgreSQL 数据库。无需外部设置。
- **Web UI:** http://localhost:8080
- **REST API:** http://localhost:8080/openapi/
### 加载示例数据
```
cd etc/datasets && make
curl -X POST http://localhost:8080/api/v3/dataset --data-binary @ds1.zip \
-H "Content-Type: application/zip"
```
## 关键概念
| 术语 | 在 Trustify 中的含义 |
|------|--------------------------|
| **SBOM** | 软件物料清单 (CycloneDX 或 SPDX),描述软件产品中的组件 |
| **Advisory** | 安全公告(例如来自 NVD、Red Hat、GHSA),描述特定包中的漏洞 |
| **VEX** | 供应商可利用性交换——供应商关于某漏洞是否实际影响其产品的声明 |
| **pURL** | 包 URL——一种在不同生态中标识软件包的标准方式 |
| **CPE** | 通用平台枚举——用于产品的标识符,常用于 NVD 公告 |
| **CVE** | 公开披露的安全漏洞的唯一标识符 |
## 生态系统
| 仓库 | 描述 |
|------------|-------------|
| [trustify-ui](https://github.com/guacsec/trustify-ui) | Web 界面 |
| [trustify-helm-charts](https://github.com/guacsec/trustify-helm-charts) | 用于 Kubernetes 部署的 Helm charts |
| [trustify-mcp](https://github.com/guacsec/trustify-mcp) | 用于 AI/LLM 集成的 MCP server |
| [trustify-load-test-runs](https://github.com/guacsec/trustify-load-test-runs) | 规模测试运行器及[结果](https://guacsec.github.io/trustify-scale-test-runs/) |
| [scale-testing](https://github.com/guacsec/scale-testing) | 规模测试套件 |
| [trustify-release-tools](https://github.com/guacsec/trustify-release-tools) | 发布自动化工具 |
## 架构
Trustify 采用 [modulith](https://dzone.com/articles/architecture-style-modulith-vs-microservices)
架构——由 PostgreSQL 支持的单个可部署二进制文件。
- 用于摄入和查询供应链数据的 **REST API**
- 按计划获取公共漏洞源的 **内置导入器**
- 支持 SBOM、advisory、VEX、pURL 和 CPE 的 **可扩展数据模型**
- 带有可选开发/测试绕过功能的 **OIDC 身份验证**

## License
Apache-2.0——详情请参阅 [LICENSE](LICENSE)。
标签:GPT, PostgreSQL, Rust, SBOM分析, Svelte, 可视化界面, 测试用例, 漏洞管理, 网络流量审计, 网络测绘, 软件供应链安全, 远程方法调用, 通知系统