266 lines
7.1 KiB
Markdown
266 lines
7.1 KiB
Markdown
# AI驱动代码安全扫描修复
|
||
|
||
`安全扫描` `漏洞修复` `OWASP` `AI集成` `静态分析`
|
||
|
||
# Vibe Security
|
||
|
||
一款面向 Vibe Coder 的 AI 驱动安全扫描与修复工具,能够自动发现、验证并修复代码中的安全漏洞。
|
||
|
||
<p align="center">
|
||
<img src="https://img.shields.io/badge/Security-First-red?style=for-the-badge" alt="安全优先">
|
||
<img src="https://img.shields.io/badge/OWASP-Top%2010-orange?style=for-the-badge" alt="OWASP Top 10">
|
||
<img src="https://img.shields.io/badge/CWE-Compliant-blue?style=for-the-badge" alt="CWE 合规">
|
||
</p>
|
||
|
||
## 概述
|
||
|
||
Vibe Security 是一款专为 Vibe Coder AI 辅助开发场景设计的综合安全分析工具。它能自动扫描代码库中的安全漏洞,提供详细说明,并可自动修复大量常见安全问题。
|
||
|
||
## 功能特性
|
||
|
||
### 🔍 **安全扫描器**
|
||
|
||
- **30+ 安全规则**,覆盖 OWASP Top 10
|
||
- **多语言支持** — JavaScript、TypeScript、Python、Java、PHP、C#、Ruby、Go、Rust
|
||
- **实时分析** — 秒级扫描整个代码库
|
||
- **详细报告** — 含严重等级评定的完整漏洞报告
|
||
|
||
### 🛡️ **漏洞检测**
|
||
|
||
- SQL 注入、XSS、命令注入、路径遍历
|
||
- CSRF、弱加密、硬编码密钥
|
||
- 身份认证/授权问题、SSRF、XXE
|
||
- 以及更多安全漏洞类型
|
||
|
||
### 🔧 **自动修复**
|
||
|
||
- 自动修复常见安全问题
|
||
- 安全、经过验证的修复策略
|
||
- 在提升安全性的同时保留原有功能
|
||
|
||
### ✅ **验证**
|
||
|
||
- 安全态势验证
|
||
- 合规报告
|
||
- 最佳实践评估
|
||
|
||
### 🤖 **AI 集成**
|
||
|
||
- 支持 Claude、Cursor、Windsurf、Copilot、Antigravity 的安全规范
|
||
- 以安全为核心的代码生成
|
||
- 自动化安全审查
|
||
|
||
## 安装
|
||
|
||
### 使用 npm(推荐)
|
||
|
||
```bash
|
||
# 全局安装
|
||
npm install -g vibe-security
|
||
|
||
# 或使用 bun
|
||
bun install -g vibe-security
|
||
```
|
||
|
||
### 快速开始
|
||
|
||
```bash
|
||
# 为 AI 助手安装安全规范
|
||
vibesec init --ai claude # Claude
|
||
vibesec init --ai cursor # Cursor
|
||
vibesec init --ai windsurf # Windsurf
|
||
vibesec init --ai copilot # GitHub Copilot
|
||
vibesec init --ai antigravity # Antigravity
|
||
vibesec init --ai all # 所有助手
|
||
|
||
# 版本管理
|
||
vibesec versions # 列出可用版本
|
||
vibesec update # 更新至最新版本
|
||
vibesec init --version v1.0.0 # 安装指定版本
|
||
```
|
||
|
||
## 使用方法
|
||
|
||
### Claude Code
|
||
|
||
技能在你请求安全扫描或代码审查时自动激活,直接自然对话即可:
|
||
|
||
```
|
||
扫描我的代码中的安全漏洞
|
||
修复项目中的 SQL 注入问题
|
||
检查我的身份认证实现是否存在安全问题
|
||
```
|
||
|
||
### Cursor / Windsurf / Antigravity
|
||
|
||
使用斜杠命令调用技能:
|
||
|
||
```
|
||
/vibe-security 扫描我的代码中的安全漏洞
|
||
/vibe-security 修复项目中的 SQL 注入问题
|
||
/vibe-security 检查我的身份认证实现是否存在安全问题
|
||
```
|
||
|
||
### GitHub Copilot
|
||
|
||
在 VS Code 中使用 Copilot 时,在对话框中输入 `/` 查看可用提示,然后选择 vibe-security:
|
||
|
||
```
|
||
/vibe-security 扫描我的代码中的安全漏洞
|
||
/vibe-security 修复项目中的 SQL 注入问题
|
||
/vibe-security 检查我的身份认证实现是否存在安全问题
|
||
```
|
||
|
||
### 示例提示词
|
||
|
||
- **扫描我的代码中的安全漏洞**
|
||
- **修复项目中的硬编码密钥**
|
||
- **检查 SQL 注入漏洞**
|
||
- **审查我的身份认证实现**
|
||
- **查找并修复 XSS 漏洞**
|
||
- **验证安全最佳实践**
|
||
- **为 Claude 安装安全规范**
|
||
|
||
## 推荐 AI 模型
|
||
|
||
### 最佳安全分析选择
|
||
|
||
我们推荐以下 AI 模型与 Vibe Security 配合使用,以获得最优的安全漏洞检测和代码修复效果:
|
||
|
||
#### **Claude Opus 4.5**(推荐)
|
||
|
||
- 最先进的综合安全分析模型
|
||
- 卓越的复杂漏洞检测推理能力
|
||
- 擅长识别细微安全缺陷和攻击向量
|
||
- 最适合关键安全审计、企业级代码库和生产环境部署
|
||
- 提供最全面的安全修复策略
|
||
|
||
#### **Claude Sonnet 4.5**
|
||
|
||
- 速度与安全分析深度的绝佳平衡
|
||
- 出色的安全上下文理解和漏洞识别能力
|
||
- 提供含详细说明的安全修复策略
|
||
- 适合日常开发和大多数安全工作流
|
||
|
||
#### **Claude Opus 4**
|
||
|
||
- 强大的复杂安全审计和企业级代码库处理能力
|
||
- 深度推理能力,适用于高级漏洞分析
|
||
- 最适合关键安全审查和合规要求
|
||
- 推荐用于生产环境部署和敏感应用
|
||
|
||
#### **GPT-4o**
|
||
|
||
- 快速高效,适合安全感知代码生成
|
||
- 响应速度快,是不错的替代选择
|
||
- 优秀的 CI/CD 集成和自动化扫描能力
|
||
- 大规模项目的成本效益之选
|
||
|
||
#### **Claude Sonnet 4**
|
||
|
||
- 快速安全扫描的替代选择
|
||
- 速度与准确性的良好平衡
|
||
- 适合开发过程中的快速迭代
|
||
|
||
#### **o1-preview**
|
||
|
||
- 专注于复杂安全架构审查
|
||
- 针对复杂漏洞链的高级推理能力
|
||
- 最适合安全研究和深度代码审计
|
||
|
||
#### **GPT-4o-mini**
|
||
|
||
- 快速检查和初步扫描
|
||
- 最具成本效益的选择
|
||
- 适合学习和教育场景
|
||
|
||
### 模型选择指南
|
||
|
||
| 使用场景 | 最佳模型 | 备选模型 |
|
||
| --- | --- | --- |
|
||
| **快速安全扫描** | Claude Sonnet 4.5 | GPT-4o |
|
||
| **深度安全审计** | Claude Opus 4.5 | Claude Opus 4 |
|
||
| **自动修复漏洞** | Claude Opus 4.5 | Claude Sonnet 4.5 |
|
||
| **企业合规** | Claude Opus 4.5 | Claude Opus 4 |
|
||
| **关键生产审查** | Claude Opus 4.5 | o1-preview |
|
||
| **学习安全概念** | Claude Sonnet 4.5 | GPT-4o |
|
||
|
||
### 性能建议
|
||
|
||
- **大型代码库(1000+ 文件):** 使用 Claude Sonnet 4 或 GPT-4o 加快扫描速度
|
||
- **关键安全审查:** 使用 Claude Opus 4.5 配合 `--strict` 模式获得最高全面性
|
||
- **生产环境部署:** Claude Opus 4.5 提供无与伦比的安全深度
|
||
- **日常开发:** Claude Sonnet 4.5 提供最佳速度/质量平衡
|
||
- **成本优化:** 快速检查使用 GPT-4o-mini,修复阶段升级为完整模型
|
||
|
||
### 从源码安装
|
||
|
||
如果你已下载或克隆了源代码:
|
||
|
||
```bash
|
||
# 进入 cli 目录
|
||
cd vibe-security/cli
|
||
|
||
# 安装依赖
|
||
npm install
|
||
# 或使用 bun
|
||
bun install
|
||
|
||
# 构建项目
|
||
npm run build
|
||
# 或使用 bun
|
||
bun run build
|
||
|
||
# 全局链接(可选)
|
||
npm link
|
||
# 或使用 bun
|
||
bun link
|
||
|
||
# 现在可以全局使用 vibesec 命令
|
||
vibesec --help
|
||
```
|
||
|
||
**下一步:** 安装完成后,参照上方[快速开始](#快速开始)指南为你的 AI 助手安装安全规范并开始扫描。
|
||
|
||
### 覆盖的安全类别
|
||
|
||
- SQL 注入(CWE-89)
|
||
- XSS(CWE-79)
|
||
- 命令注入(CWE-78)
|
||
- 路径遍历(CWE-22)
|
||
- CSRF(CWE-352)
|
||
- 弱加密(CWE-327)
|
||
- 硬编码密钥(CWE-798)
|
||
- 身份认证问题(CWE-287)
|
||
- 授权缺陷(CWE-285)
|
||
- 以及 20+ 种其他漏洞类型
|
||
|
||
## 支持的语言
|
||
|
||
- JavaScript(.js、.jsx、.mjs、.cjs)
|
||
- TypeScript(.ts、.tsx)
|
||
- Python(.py)
|
||
- Java(.java)
|
||
- C#(.cs)
|
||
- PHP(.php)
|
||
- Ruby(.rb)
|
||
- Go(.go)
|
||
- Rust(.rs)
|
||
|
||
## 许可证
|
||
|
||
本作品采用 [CC BY-NC 4.0](https://creativecommons.org/licenses/by-nc/4.0/) 授权。
|
||
|
||
- **个人使用免费** — 可用于非商业目的的使用、修改和分享
|
||
- **需要署名** — 分享时须注明"Vibe Security"来源
|
||
- **禁止商业使用** — 未经许可不得用于商业目的
|
||
|
||
---
|
||
|
||
<p align="center">
|
||
以 ❤️ 为 Vibe Coder 安全代码生成而生
|
||
</p>
|
||
|
||
<p align="center">
|
||
<strong>🔒 安全第一。始终如此。</strong>
|
||
</p> |