深度安全
deepsec 是一个代理驱动的漏洞扫描器,可在您自己的基础设施中运行,旨在对现有大规模代码库中的所有代码进行按需检查。深度安全旨在发现那些在应用程序中潜伏已久的难以发现的问题。它配置为使用最佳模型,最大思考级别(可通过 --thinking-level 进行调节,有关更多信息,请参见 docs/models.md),这意味着对于大型代码库,扫描的成本可能高达数千甚至数万美元。我们的客户发现,这笔费用是值得的,因为他们能够快速修补原本无法修复的漏洞。对于大型代码库,工作会在工人机器之间并行分配。如果运行被中断或在某个时间点出错,只需重新运行相同的命令 — 深度安全会从中断的位置继续,跳过已分析的文件,仅调查其余部分。开始使用 在您想要扫描的代码库的根目录下,执行: npx deepsec init # 创建 .deepsec/ 并将该代码库作为第一个项目 cd .deepsec pnpm install # 从 npm 安装 deepsec # 按照 `init` 输出的指示进行操作 现在让您的编码代理引导您的安装。打开所选代理并提示:阅读 .deepsec/node_modules/deepsec/SKILL.md 以了解该工具。然后阅读 .deepsec/data/<id>/SETUP.md 并遵循它:浏览该代码库的 README、任何 AGENTS.md/CLAUDE.md,以及一些代表性的代码文件,然后替换 .deepsec/data/<id>/INFO.md 的每个部分。保持简短 — 目标总行数为 50–100 行。每个部分选择 3–5 个示例,而不是详尽列举。命名原始数据(身份验证助手、中间件),但不列行号。跳过通用 CWE 分类 — 内置匹配器已经涵盖了这些。仅涵盖项目特定的内容。INFO.md 会注入到每个扫描批次中;冗长的上下文稀释了信号。然后从 .deepsec/ 内部扫描: pnpm deepsec scan pnpm deepsec process pnpm deepsec revalidate # 可选,降低误报率 pnpm deepsec export --format md-dir --out ./findings 如果您认为深度安全应该查看代码的更多部分,请为其提供编写匹配器的文档,以在您的代码库中找到更有价值的起始点。 文档 docs/getting-started.md — 首次扫描操作指南 docs/reviewing-changes.md — 进程 --diff 用于 PR 审查和 CI 门控 docs/supported-tech.md — 深度安全识别的框架和生态系统 docs/writing-matchers.md — 促使您的编码代理扩展匹配器集 docs/configuration.md — deepsec.config.ts 参考 docs/plugins.md — 插件编写 docs/models.md — 模型选择、默认值、拒绝、未来模型 docs/vercel-setup.md — AI 网关 + Vercel 沙箱密钥 / 令牌 docs/architecture.md — 流水线内部文档 docs/data-layout.md — 数据/架构 (FileRecord, RunMeta, …) docs/faq.md — 成本、模型选择、沙箱模式、误报率 samples/ — 复制粘贴起始点(当前:webapp/) CONTRIBUTING.md — 代码库布局、开发工作流 AI 提供者 在本地运行时,深度安全如果您已在此计算机上登录,则会回落到现有的 claude / codex 订阅。订阅(Claude Pro/Max、ChatGPT Plus)对于评估深度安全非常有用,但通常没有足够的空间进行完整的代码库扫描。对于真实扫描,请使用 Vercel AI 网关。一键即可覆盖 Claude 和 Codex,并且网关的默认配额适合高度并发研究。 AI_GATEWAY_API_KEY=vck_... 请参阅 docs/vercel-setup.md 以获取密钥和 Vercel 沙箱设置。要绕过网关,请单独设置 ANTHROPIC_AUTH_TOKEN + ANTHROPIC_BASE_URL (或 OpenAI 对)。显式值总是优于 AI_GATEWAY_API_KEY 扩展。如果由于上游凭证用尽配额或信用而导致进程或重新验证运行停止,深度安全会优雅地停止并告诉您在哪里补充。之后重新运行相同的命令,它会从中断的位置继续。 分布式执行(可选) 大型单体代码库可以在 Vercel 沙箱微虚拟机之间分派工作: pnpm deepsec sandbox process --project-id my-app --sandboxes 10 --concurrency 4 需要一个 Vercel 账户。本地工作树会被打包并上传; .git 被排除在外。支持 OIDC 令牌(本地)和访问令牌(CI)— 请参见 docs/vercel-setup.md 。 深度安全的安全模型 将深度安全视为具有完全 shell 访问权限的编码代理。它设计为在受信任的输入(您的源代码)上运行,但您可能仍然担心由于外部依赖或供应代码而导致的提示注入。在沙箱中运行(见上文)确实大大限制了潜在的暴露:编码代理的 API 密钥是在沙箱外部注入,因此无法被外泄。对于工作沙箱,沙箱的网络外部访问限制为编码代理主机(在引导过程中允许外发,但这不会运行编码代理)。 工作流程参考 命令 功能 scan 查找符合正则匹配器的候选站点(快速,无需 AI) process AI 调查
本站免费、广告极少。如果觉得有帮助,可以请我们喝杯咖啡 —— 任何金额都对持续运营有实际帮助。
☕请我喝杯咖啡