kutta643/llm-sast-scanner

# 🛡️ llm-sast-scanner - 面向 AI 编程的明确漏洞检查 [](https://github.com/kutta643/llm-sast-scanner/releases) ## 🚀 入门指南 llm-sast-scanner 可帮助 AI 编程助手通过结构化检查发现代码中的安全问题。它重点关注 34 种漏洞类型，并提供清晰的结果，便于审查。 请前往发布页面获取 Windows 版本并在您的 PC 上运行。 ## 💾 Windows 下载 1. 打开[发布页面](https://github.com/kutta643/llm-sast-scanner/releases) 2. 在页面顶部找到最新版本 3. 在 Assets 部分下载 Windows 文件 4. 将文件保存到您的电脑 5. 打开文件以启动应用程序 如果 Windows 请求权限，请选择运行该文件的选项。 ## 🖥️ 开始之前 请使用满足以下条件的 Windows 10 或 Windows 11 PC： - 至少 4 GB 内存 (RAM) - 约 200 MB 的可用磁盘空间 - 首次下载所需的稳定互联网连接 - 打开下载文件的权限 为获得最佳效果，请在开始前关闭其他占用资源较大的应用程序。 ## 📦 本工具的功能 本应用程序有助于代码安全检查。它为 AI 助手提供了一种结构化的方法来发现常见风险，例如： - SQL 注入 - 命令注入 - 跨站脚本攻击 (XSS) - 路径遍历 - 弱身份验证检查 - 硬编码敏感信息 - 不安全的文件处理 - 访问控制失效 - 数据暴露 - 不安全的反序列化 - SSRF - 不安全的默认配置 它会根据 34 种漏洞类型对代码进行检查，从而使输出结果井然有序且易于审查。 ## 🧭 运行方法 1. 从发布页面下载 Windows 版本 2. 打开您的“下载”文件夹 3. 双击您下载的文件 4. 如果出现提示，请单击“运行”或“是” 5. 等待应用程序打开 如果该文件是 ZIP 压缩包，请先右键单击它并选择“全部提取”。然后打开提取出的应用程序文件。 ## ⚙️ 基本使用 应用程序打开后，您可以使用它通过清晰的安全规则来检查代码。 常见步骤： 1. 将工具指向一个项目文件夹 2. 开始扫描 3. 查看结果 4. 修复其标记出的问题 5. 修改后再次扫描 这些结果旨在帮助您和您的 AI 编程助手逐一解决问题。 ## 🔍 您可以检查的内容 您可以使用 llm-sast-scanner 来审查： - Web 应用程序 - API 服务 - Python 项目 - JavaScript 项目 - TypeScript 项目 - 后端代码 - 小型实用程序应用 - 混合代码库 当您希望在发布代码前进行快速安全检查时，它非常有用。 ## 🧰 您可能会看到的文件类型 根据发布版本的不同，下载内容可能包含以下其中一种： - `.exe` 文件 - `.zip` 文件 - Windows 安装程序包 如果您看到 `.exe` 文件，请双击它以运行应用程序。 如果您看到 `.zip` 文件，请先将其解压，然后打开里面的应用程序。 ## 🔐 包含的安全检查 该扫描器涵盖的常见问题领域包括： - 输入验证 - 输出编码 - 身份验证流程 - 会话处理 - 访问控制 - 敏感信息存储 - 不安全的系统调用 - 文件和路径检查 - 网络请求风险 - 数据处理错误 - 逻辑缺陷 - 不安全的解析 这些检查有助于在问题进入生产环境之前将其发现。 ## 🧪 示例用例 如果您正在让 AI 助手编写代码，您可以在代码生成后运行 llm-sast-scanner。它可以帮助您发现危险的代码模式，例如： - 未经检查便将用户输入发送到数据库 - 未经编码便在页面上显示用户数据 - 使用原始输入构建 Shell 命令 - 使用未经检查的值构建文件路径 - 以纯文本形式存储凭据 这使得代码审查更快、更一致。 ## 🛠️ 如果应用程序无法打开 请尝试以下步骤： 1. 右键单击该文件 2. 选择“以管理员身份运行” 3. 检查 Windows 是否阻止了该文件 4. 将文件移动到简单的文件夹中，如 `Downloads` 或 `Desktop` 5. 如果文件似乎已损坏，请重新下载该版本 如果您使用的是 ZIP 文件，请确保在打开应用程序之前已提取所有文件。 ## 📁 建议的文件夹设置 请将应用程序保存在简单的路径下，例如： - `Downloads` - `Desktop` - `C:\Tools\llm-sast-scanner` 避免使用包含许多嵌套文件夹的深层路径。在 Windows 上，短路径更易于管理。 ## 🧑‍💻 面向 AI 编程工作流 本工具非常适合集成到 AI 助手编写代码然后检查其安全风险的编程流程中。 一个简单的流程如下所示： 1. 使用 AI 助手生成代码 2. 在项目上运行 llm-sast-scanner 3. 阅读标记出的问题 4. 让 AI 助手修复它们 5. 再次运行扫描 这为您提供了一个可重复的审查步骤，而无需具备深厚安全知识。 ## 📌 常见问题 **它可以在 Windows 上运行吗？** 可以。请使用发布页面下载 Windows 文件。 **我需要懂编程吗？** 不需要。您只需下载文件，打开它，然后按照屏幕上的步骤操作即可。 **我可以在任何项目上使用它吗？** 它适用于您希望进行安全审查的代码项目。 **它的优势是什么？** 它对许多常见的漏洞类型提供结构化检查，因此结果更易于理解。 ## 🔗 下载 访问[发布页面](https://github.com/kutta643/llm-sast-scanner/releases)下载并运行 Windows 文件

标签：AI编程, C2, CISA项目, DevSecOps, DLL 劫持, DOE合作, LLM, SAST, SSRF, Unmanaged PE, Windows应用, XML 请求, XSS, 上游代理, 人工智能, 代码安全审计, 反序列化漏洞, 命令注入, 大语言模型, 安全开发, 弱认证, 数据可视化, 源码扫描, 漏洞分类, 漏洞情报, 用户模式Hook绕过, 盲注攻击, 硬编码密码, 访问控制失效, 证据链分析, 跨站脚本攻击, 路径遍历, 逆向工具, 错误基检测, 静态代码分析, 静态应用安全测试