zizmorcore/zizmor

GitHub: zizmorcore/zizmor

专为 GitHub Actions 工作流设计的静态安全分析工具,可检测模板注入、凭证泄露、权限滥用等 CI/CD 安全风险。

Stars: 3674 | Forks: 139

# 🌈 zizmor [![zizmor](https://img.shields.io/badge/%F0%9F%8C%88-zizmor-white?labelColor=white)](https://zizmor.sh/) [![CI](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/cb5abc8173194937.svg)](https://github.com/zizmorcore/zizmor/actions/workflows/ci.yml) [![Crates.io](https://img.shields.io/crates/v/zizmor)](https://crates.io/crates/zizmor) [![Packaging status](https://repology.org/badge/tiny-repos/zizmor.svg)](https://repology.org/project/zizmor/versions) [![GitHub Sponsors](https://img.shields.io/github/sponsors/woodruffw?style=flat&logo=githubsponsors&labelColor=white&color=white)](https://github.com/sponsors/woodruffw) [![Discord](https://img.shields.io/badge/Discord-%235865F2.svg?logo=discord&logoColor=white)](https://discord.com/invite/PGU3zGZuGG) `zizmor` 是一款用于 GitHub Actions 的静态分析工具。 它可以发现典型的 GitHub Actions CI/CD 设置中许多常见的安全问题, 包括: * 模板注入漏洞,导致攻击者可以控制代码执行 * 意外的凭证持久化和泄露 * 过度的权限范围和授予 runners 的凭证权限 * 伪造提交和易混淆的 `git` 引用 * ...[以及更多]! ![zizmor demo](https://zizmor.sh/assets/zizmor-demo.gif) 参阅 [`zizmor` 的文档](https://docs.zizmor.sh/) 了解[安装步骤],以及[快速入门]和 [详细的使用指南]。 ## 许可证 `zizmor` 采用 [MIT 许可证](./LICENSE) 授权。 ## 名字的由来? *[现在你可以拥有整洁干净的工作流了!]* ## Star 历史 Star History Chart
标签:CI/CD 安全, DevSecOps, GitHub Actions, Rust, SAST, StruQ, 上游代理, 云安全监控, 凭证泄露, 可视化界面, 工作流安全, 开源安全工具, 指令注入, 数据投毒防御, 文档安全, 权限审计, 模板注入, 盲注攻击, 结构化查询, 网络流量审计, 自动化安全, 自动笔记, 逆向工程平台, 通知系统, 通知系统, 静态分析