zerothreatai/github-action

# ZeroThreat – AI 驱动的自动化渗透测试平台 ZeroThreat 是一个 AI 驱动的自动化渗透测试平台，能够通过基于概念验证的验证和漏洞覆盖，发现现代 Web 应用程序和 API 中真实可利用的漏洞。它使用 Agentic AI 执行自适应的攻击者工作流，结合深度的 CVE 覆盖、经过身份验证的测试、业务逻辑测试以及社区驱动的攻击模板，帮助团队确定真实风险的优先级并消除误报。 ## 输入 | 输入 | 描述 | 必需 | 默认值 | | ------------------- | -------------------------------------------------------------------- | -------- | ------- | | `ZT_TOKEN` | 用于验证 API 请求并启动扫描的 ZT_TOKEN。 | 是 | | | `WAIT_FOR_ANALYSIS` | 设置为 true 可在完成作业前等待分析完成。 | 否 | false | | `ON_PREM_PROXY_API_URL` | 设置代理 URL 主机以扫描内部目标。 | 否 | | ## 工作原理 1. **ZeroThreat AI 驱动的渗透测试工具**：渗透测试通过传入 `zt_token` 触发。每个 token 对应于 ZeroThreat 应用程序中定义的特定目标。在接收到 token 后，ZeroThreat DevOps Bot 会在开始扫描过程之前执行前置条件检查。 2. **扫描报告**：一旦 ZeroThreat DevOps Bot 启动安全扫描，扫描报告即可在 ZeroThreat Portal 中查看。 ### 密钥配置 1. 从 ZeroThreat Portal 生成 `zt_token`。 2. 在您的 GitHub 仓库中的 **Settings > Secrets** 下添加此密钥： - `zt_token`：用于验证 API 请求并启动扫描的 ZT_TOKEN。 ## 注意事项 - 确保在您的 GitHub 仓库中正确配置了密钥，以便启动扫描。 - ZeroThreat 提供了一个集中式仪表板来显示所有扫描结果。

标签：AI驱动, AMSI绕过, API安全, CI/CD安全, CISA项目, Claude, CVE检测, DAST, DevSecOps, GitHub Action, JSON输出, Llama, SaaS安全平台, 上游代理, 业务逻辑测试, 人工智能, 代理扫描, 代码安全, 代码生成, 内部网络扫描, 动态应用安全测试, 威胁检测, 安全合规, 恶意软件分析, 攻击模板, 渗透测试工具, 漏洞枚举, 用户模式Hook绕过, 网络代理, 网络安全, 自动化攻击, 自动化渗透测试, 防御框架, 隐私保护, 零误报, 风险优先级评估