whatheheckisthis/Intent-to-Auditable-Trust-Object-v5

# Intent-to-Auditable-Trust-Object (IATO-V5) 一个构建阶段的安全验证框架，用于检测加密实现并验证信任凭据，为合规的 DevSecOps 流水线生成可审计的证据。 [](#quick-start) [](#essential-eight-mapping) [](#soc-2-mapping) [](SECURITY.md) ## 执行摘要 Crypto Detector 是一个确定性的构建阶段验证工具，旨在确保 ARM 对齐环境中的软件制品具备加密完整性和身份验证保证。通过使用方法级 API 匹配、精选的关键字信号和结构化规则集来分析加密状态转换，该系统识别控制软件信任边界的控制路径和身份验证流。 该工作流超越了应用层检查，扩展至包括 SPDM 设备身份验证交换和 MMIO 介导的交互面，从而提供对平台级加密操作的可见性。制品溯源通过 IPFS 内容寻址存储进行维护，而来自 .NET 8 NFC 工作进程和 eBPF/XDP 遥测的运行时信号则提供操作性证明。与 BIG-IP F5 边缘控制设备和 JBoss EAP 7 的集成确保制品满足安全发布要求。 输出专为 CI/CD 流水线、审计工作流和治理仪表板构建结构化，支持与 Essential Eight、SOC 2 和 ISO/IEC 27001/27002 对齐的运营控制，但并不声称获得 Common Criteria 认证。 ## 概述 – 功能映射 | 功能 / 组件 | 功能 | 安全 / 合规侧重点 | 备注 | | ------------------------------------------- | ----------------------------------------------------------------------------------- | --------------------------------------------------------------------- | ------------------------------------------------------- | | Cryptographic Analysis Engine | 识别源代码和制品中的加密 API 和实现路径 | 检测影响软件信任边界的控制路径 | 确定性的构建阶段验证 | | Method-Level API Matching & Keyword Signals | 分析加密状态转换 | 确保身份验证完整性和策略合规性 | 支持 Essential Eight, SOC2, ISO/IEC 27001/27002 | | SPDM Device Authentication Inspection | 评估设备绑定的信任交换 | 确认安全的身份验证流 | 观察平台级信任边界 | | MMIO Interaction Surface Analysis | 监视内存映射 I/O 的加密状态影响 | 确保制品行为符合平台安全期望 | 有助于验证设备级集成 | | IPFS Artefact Management | 提供内容寻址的制品存储 | 保证可复现性和可审计性 | 将证据链接到不可变的制品哈希 | | BIG-IP F5 / JBoss EAP 7 Integration | 确认边缘层和应用层的加密信号 | 支持软件供应链保证 | 在部署前在 CI/CD 流水线中工作 | | Machine-Readable Outputs | 生成结构化的 CSV/JSON 证据 | 支持审计工作流集成 | 与制品和规则版本绑定的确定性输出 | | .NET 8 NFC Worker | 提供设备身份验证信号 | 支持物理/凭据证明 | 可选，可输入到构建阶段验证 | **图. 1** – ***Crypto Detector 验证工作流*** 此图说明了 Crypto Detector 工作流，展示了源制品如何被分析以进行加密状态转换，如何在 ARM/SPDM 和 MMIO 上下文中进行身份验证，以及如何在通过 CI/CD 发布门禁提升之前通过运行时遥测和内容寻址制品存储进行验证。它强调了从构建阶段检查到可审计证据生成的流程。 ``` +--------------------+ | Source / Artefact | +---------+----------+ | v +--------------+----------------+ | Cryptographic Analysis Engine | | - Method-level API matching | | - Keyword & rule-based checks | +--------------+----------------+ | v +---------------+------------------+ | Platform Security Inspection | | - SPDM Device Authentication | | - MMIO Interaction Monitoring | +---------------+------------------+ | v +-------------+--------------+ | Runtime / Device Signals | | - .NET 8 NFC Worker | | - eBPF / XDP Telemetry | +-------------+--------------+ | v +----------+-----------+ | IPFS Artefact Store | | - Content-addressed | | - Deterministic refs | +----------+-----------+ | v +---------------+----------------+ | CI/CD Pipeline & Release Gates | | - BIG-IP F5 Edge Validation | | - JBoss EAP 7 Artefact Check | +---------------+----------------+ | v +---------+---------+ | Audit / Governance | | - CSV / JSON logs | | - SOC2 / ML4 / ISM | +-------------------+ ``` # 运营范围 下表定义了 Crypto Detector 架构内的验证职责，并将其映射到与身份验证、凭据管理和系统访问控制执行相关的 **ASD ISM 控制 457–460**。 | 架构组件 | 技术功能 | ISM 控制参考 | 合规相关性 | ------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------- | --------------------- | --------------------------------------------------------------------------------------------------------- | Crypto Detector Analysis Engine | 识别应用程序制品内的加密调用路径和与身份验证相关的控制转换 | ISM-457 | 支持在部署前验证应用程序逻辑中的身份验证实现 | QEMU SVE2 Emulation Environment | 在 ARM 向量上下文中执行已编译的制品，以观察 WHILELO/INCP 迭代语义和加密控制流 | ISM-458 | 确保身份验证例程在预期执行条件下行为一致 | IPFS Artefact Integrity Layer | 将制品哈希绑定到验证证据和流水线输出的内容寻址存储 | ISM-459 | 提供支持受控发布批准的制品溯源和完整性保证 | eBPF / XDP Runtime Attestation | 在网络和内核边界捕获身份验证和加密调用信号的内核插桩 | ISM-460 | 支持在运营环境中监视和检测与身份验证相关的事件 | .NET 8 NFC Worker Service | 凭据轮询、NFC 令牌解释以及将身份验证事件转发到证明流水线 | ISM-457 | 提供与流水线验证集成的设备绑定身份验证信号生成 | CI/CD Orchestration Platform | 流水线调度、构建执行和发布门禁 | ISM-459 | 提供运营上下文，但不由 Crypto Detector 直接实现 | Physical NFC Reader Hardware | 用于凭据扫描的硬件接口 | ISM-457 | 软件验证边界之外的身份验证设备 ### 合规对齐摘要 Crypto Detector 提供与以下治理目标相关的证据： **SOC 2 信任服务标准** * **CC6** – 逻辑访问控制和身份验证执行 * **CC7** – 系统监控和异常检测 * **CC8** – 变更管理和安全发布流程 **运营成熟度 (ML4)** * 嵌入 CI/CD 工作流的自动化验证 * 绑定到不可变标识符的确定性制品验证 * 通过内核插桩进行持续监控 | 步骤 | 描述 | |------|-------------| | 1. 摄取 | 代码和打包的制品。 | | 2. 分析 | 确定性的加密和身份验证检查。 | | 3. 发布 | 机器可读的证据。 | | 4. 执行 | 提升前的发布策略。 | ## 系统范围 ### 包含 - 用于加密证据的源码/包扫描。 - 版本控制的 API/关键字检测。 - 用于下游控制的结构化输出。 - 可自动化的 CI/CD 执行。 ### 不包含 - 加密模块认证。 - 运行时侧信道/故障分析。 - Common Criteria 建模。 - 企业 KMS/HSM/IAM 替代。 **Common Criteria 说明**: Crypto Detector **不是**一个 CC 产品。它未定义保护轮廓、安全目标 或 EAL。此处的映射仅支持运营控制。 ## SecDevOps 工作流 1. **制品摄取**: 处理源目录和归档文件。统一展开覆盖嵌套组件。 2. **检测**: 方法模块检查 API 签名和关键字指示符以确定加密存在/上下文。 3. **身份验证过滤**: 根据安全控制优先处理身份验证/凭据路径。 4. **证据输出**: 结构化结果（如 CSV）与提交 ID/策略版本一起归档。 5. **策略门禁**: 禁止的 API 导致构建失败；风险需要批准；面向互联网的系统对严重问题零容忍。 6. **审计追踪**: 将扫描链接到仓库修订、构建和规则，以提供可辩护的证据。 ## 部署上下文 - **BIG-IP F5**: 在部署前验证应用层加密，补充 TLS/边缘控制以实现分层防御。 - **JBoss EAP 7**: 强制构建阶段扫描归档/依赖项；将证据附加到工单/变更。 ## 合规映射 输出与运营控制（Essential Eight、SOC 2、ISO 27001/27002）对齐——而非认证。 ### Essential Eight 映射 | Essential Eight 策略 | Crypto Detector 支持 | 典型证据 | |---|---|---| | 应用程序控制 | 检测未批准的加密 API 使用以支持允许列表决策。 | 文件级发现和策略结果 | | 应用程序补丁 | 当规则维护至当前标准时，识别已弃用的加密签名。 | 规则版本 + 扫描差异 | | 限制管理权限 | 突出显示特权身份验证和凭据路径指示符以供审查。 | 身份验证路径发现清单 | | 多因素认证 | 显示用于验证 MFA 相关集成点的实现标记。 | 映射的代码/包证据 | | 定期备份 | 非直接备份控制；扫描输出可与发布制品一起归档。 | 不可变证据归档 | ### SOC 2 映射 | SOC 2 信任标准领域 | Crypto Detector 支持 | 典型证据 | |---|---|---| | CC6 逻辑访问控制 | 为身份验证和凭据控制实施审查提供确定性证据。 | 服务范围的发现报告 | | CC7 系统运维 | 支持 CI/CD 中加密策略漂移的持续监控。 | 逐构建的增量报告 | | CC8 变更管理 | 将加密分析与发布批准和例外处理结合。 | 流水线日志 + 批准 | | 可用性相关标准（如适用） | 降低面向外部的服务中不安全加密变更带来的发布风险。 | 例外记录和补救状态 | ### ISO 27001 / ISO 27002 映射 | ISO 控制主题 | Crypto Detector 支持 | 典型证据 | |---|---|---| | 加密控制 | 清点加密实现信号和策略偏差。 | 结构化扫描输出 | | 安全开发生命周期 | 将可重复的加密分析嵌入交付工作流。 | CI 作业历史和策略检查 | | 技术漏洞管理 | 标记规则集定义的弱/弃用模式。 | 严重性标记的发现 | | 日志记录和监控 | 生成用于 SIEM/GRC 摄取的机器可读证据。 | NDJSON/CSV 制品 | ### 工作流 1. 用户向 Django 仪表板 (`/`) 提交数据。 2. Django 将载荷 POST 到 C++ 引擎 (`/scan`)。 3. C++ 引擎评估指示符并返回 JSON 风险信号。 4. Django 将结果渲染回用户。 ``` docker compose up --build ``` ``` #POSIX-compliant terminal/IDE workflow (localhost:8000 dashboard ready) $ POSIXLY_CORRECT=1 python3 -m http.server 8000 # Serve on standard port $ curl -X POST http://localhost:8000/submit -F "payload=@artifact.zip" # Submit via POSIX curl ``` ``` #Or open $BROWSER http://localhost:8000 && submit payload in dashboard ``` ### Python 包 Django 服务 Docker 镜像默认使用公共开源 Python 索引 (`https://pypi.org/simple`)，并支持覆盖 `PIP_INDEX_URL` 以使用企业镜像。 # 前置条件 ``` #!/usr/bin/env bash # 确保使用 Python 3 PYTHON=python3 # 如果尚未 clone，请在本地 clone repository REPO_URL="git@github.com:whatheheckisthis/Crypto-Detector.git" LOCAL_DIR="Crypto-Detector" ``` # 命令 1. 显示检测器 CLI 帮助： ``` python -m cryptodetector.cryptodetector --help ``` 2. 运行主要测试集： ``` python -m unittest TESTS/tests/test_all.py TESTS/tests/test_el2_timer.py TESTS/tests/test_cnthp_sweep.py TESTS/tests/test_el2_credential_validator.py ``` 3. 针对目标路径执行检测器： ``` python -m cryptodetector.cryptodetector ``` 4. 显示 CSV 转换工具选项： ``` python SRC/reporting/translate_to_csv.py --help ``` ### 固定扫描目标 在 CI 中使用明确的固定路径，以便扫描覆盖范围稳定且可审计： ``` python -m cryptodetector.cryptodetector SRC/cryptodetector/ python -m cryptodetector.cryptodetector TESTS/tests/ python -m cryptodetector.cryptodetector SRC/reporting/ python -m cryptodetector.cryptodetector DOCS/crypto-output-specification/ ``` 如果您的构建生成归档文件（例如 `.jar`、`.war` 或 `.zip`），请在发布前将这些输出目录固定为额外的必需扫描目标。 ### 推荐 - 发现禁止的加密项时阻止发布。 - 例外情况需要风险所有者批准。 - 将输出与提交 SHA、构建 ID 和规则哈希一起存储。 - 除非续期，否则自动使例外过期。 ## 文档和治理链接 - 运营摘要：[DOCS/READ.md](DOCS/READ.md) - 贡献标准：[CONTRIBUTING.md](CONTRIBUTING.md) - 安全报告：[SECURITY.md](SECURITY.md) - 许可条款：[LICENSE](LICENSE) 对于运行重复扫描命令的操作人员和开发人员，建议标准化使用配备 Oh My Zsh 的 Zsh，以改进 CI 故障排查的命令补全、历史搜索和别名控制。 安装指南： 兼容性说明：旧版根路径（`cryptodetector/`、`tests/`、`reporting/` 和 `crypto-output-specification/`）作为符号链接保留，指向规范的主目录。

标签：API 匹配, ARM 架构, CI/CD 安全, DevSecOps, Essential Eight, F5 BIG-IP, GPT, IPFS, ISO 27001, JBoss EAP, .NET 8, SBOM, SecDevOps, SOC 2, SPDM, XDP, 上游代理, 云安全监控, 信任凭证检测, 安全治理, 完整性监控, 审计取证, 密码学验证, 数据投毒防御, 构建阶段安全, 漏洞管理, 硬件无关, 系统加固, 设备认证, 请求拦截, 跌倒检测, 身份验证强制, 软件清单, 软件物料清单, 逆向工具, 静态分析