7d29fe0f2a
|
||
|---|---|---|
| .github | ||
| backend | ||
| docker/sandbox | ||
| docs | ||
| frontend | ||
| rules | ||
| scripts | ||
| supabase/migrations | ||
| .dockerignore | ||
| .gitignore | ||
| CHANGELOG.md | ||
| CONTRIBUTING.md | ||
| DISCLAIMER.md | ||
| LICENSE | ||
| README.md | ||
| SECURITY.md | ||
| docker-compose.yml | ||
| sgconfig.yml | ||
| tools.txt | ||
README.md
DeepAudit
AI-Powered Intelligent Code Security Audit Platform
让安全审计像呼吸一样简单
🚀 快速开始 • ✨ 核心功能 • 🤖 Agent 审计 • 📚 文档 • 🤝 贡献
🎉 v3.0.0 新特性
🤖 Multi-AgentOrchestrator 编排决策 |
🧠 RAG 增强代码语义理解 |
🔒 沙箱验证Docker 安全容器 |
🛠️ 工具集成Semgrep • Bandit |
💡 为什么需要 DeepAudit?
你是否也有这样的困扰?
| 😫 痛点 | 💡 DeepAudit 解决方案 |
|---|---|
| 人工审计跟不上代码迭代速度 | Multi-Agent 自主审计,AI 自动编排审计策略 |
| 传统工具误报率高,每天都在清理噪音 | RAG 知识库增强,代码语义理解大幅降低误报 |
| 担心源码泄露给云端 AI | 支持 Ollama 本地部署,代码数据不出内网 |
| 外包项目不知道藏了多少雷 | 沙箱 PoC 验证,确认漏洞真实可利用 |
📸 界面预览
🤖 Agent 审计入口
首页快速进入 Multi-Agent 深度审计
📋 审计流日志 实时查看 Agent 思考与执行过程 |
🎛️ 智能仪表盘 一眼掌握项目安全态势 |
⚡ 即时分析 粘贴代码 / 上传文件,秒出结果 |
🗂️ 项目管理 GitHub/GitLab 导入,多项目协同管理 |
🚀 快速开始
📦 Docker Compose 一键部署(推荐)
# 1️⃣ 克隆项目
git clone https://github.com/lintsinghua/DeepAudit.git && cd DeepAudit
# 2️⃣ 配置 LLM API Key
cp backend/env.example backend/.env
# 编辑 backend/.env,填入你的 API Key
# 3️⃣ 构建沙箱镜像(Agent 漏洞验证必须)
cd docker/sandbox && chmod +x build.sh && ./build.sh && cd ../..
# 4️⃣ 启动所有服务
docker compose up -d
🎉 完成! 访问 http://localhost:3000 开始体验(包含 Multi-Agent 审计能力)
🔑 演示账户
| 📧 邮箱 | 🔑 密码 |
|---|---|
demo@example.com |
demo123 |
⚠️ 生产环境请务必删除演示账户或修改密码!
✨ 核心功能
🤖 Multi-Agent 智能审计自主编排、深度分析、自动验证
🧠 RAG 知识库增强超越简单关键词匹配
🔒 安全沙箱验证Docker 隔离环境执行 PoC
|
🛠️ 专业安全工具集成
🎯 What-Why-How 三步修复
📊 可视化报告
|
🤖 Multi-Agent 智能审计
架构概览
支持的漏洞类型
|
|
📖 详细文档请查看 Agent 审计指南
🔌 支持的 LLM 平台
🌍 国际平台
OpenAI GPT-4o / GPT-4 |
🇨🇳 国内平台
通义千问 Qwen |
🏠 本地部署
Ollama |
💡 支持 API 中转站,解决网络访问问题 | 详细配置 → LLM 平台支持
🎯 功能矩阵
| 功能 | 说明 | 模式 |
|---|---|---|
| 🤖 Agent 深度审计 | Multi-Agent 协作,自主编排审计策略 | Agent |
| 🧠 RAG 知识增强 | 代码语义理解,CWE/CVE 知识库检索 | Agent |
| 🔒 沙箱 PoC 验证 | Docker 隔离执行,验证漏洞有效性 | Agent |
| 🗂️ 项目管理 | GitHub/GitLab 导入,ZIP 上传,10+ 语言支持 | 通用 |
| ⚡ 即时分析 | 代码片段秒级分析,粘贴即用 | 通用 |
| 🔍 五维检测 | Bug · 安全 · 性能 · 风格 · 可维护性 | 通用 |
| 💡 What-Why-How | 精准定位 + 原因解释 + 修复建议 | 通用 |
| 📋 审计规则 | 内置 OWASP Top 10,支持自定义规则集 | 通用 |
| 📝 提示词模板 | 可视化管理,支持中英文双语 | 通用 |
| 📊 报告导出 | PDF / Markdown / JSON 一键导出 | 通用 |
| ⚙️ 运行时配置 | 浏览器配置 LLM,无需重启服务 | 通用 |
🗺️ 未来蓝图
✅ 已完成 (v3.0.0)
- Multi-Agent 协作架构(Orchestrator/Recon/Analysis/Verification)
- RAG 知识库(代码语义 + CWE/CVE)
- Docker 沙箱 PoC 验证
- 专业安全工具集成
🚧 开发中
- CI/CD 集成 — GitHub Actions / GitLab CI 流水线自动审计
- 自动补丁生成 — 基于漏洞分析自动生成修复代码
- 跨文件分析 — 代码知识图谱,理解模块间调用关系
📋 计划中
- 混合分析 — AI + 传统 SAST 联合验证,减少误报漏报
- IDE 插件 — VS Code / JetBrains 集成
- 多仓库支持 — Gitea, Bitbucket, GitLab Self-hosted
📚 文档
| 文档 | 说明 |
|---|---|
| 📘 部署指南 | Docker 部署、本地开发、生产配置 |
| 🤖 Agent 审计 | Multi-Agent 模块详解 |
| ⚙️ 配置说明 | 后端配置、审计规则、提示词模板 |
| 🔌 LLM 平台 | 各家 LLM 配置方法和 API Key 获取 |
| 🛠️ 安全工具 | 安全扫描工具本地安装指南 |
| ❓ 常见问题 | 遇到问题先看这里 |
| 📜 更新日志 | 版本更新记录 |
| 👥 贡献指南 | 参与开发 |
🏗️ 技术栈
🖥️ 前端
|
⚙️ 后端
|
🤝 贡献
开源项目离不开社区的支持!无论是提 Issue、PR,还是分享使用心得,都非常欢迎 🙌
💬 想和我一起让工具变得更好?欢迎联系我,一起为开源做贡献!
🙏 致谢
DeepAudit 的诞生离不开以下优秀开源项目的支持与启发,在此表示衷心感谢!
🏗️ 架构参考
| 项目 | 说明 | License |
|---|---|---|
| Strix | Multi-Agent 安全审计架构参考,提供了 Agent 协作编排的优秀设计思路 | MIT |
🔧 集成工具
| 项目 | 说明 | License |
|---|---|---|
| Kunlun-M (昆仑镜) | PHP/JS 静态代码安全审计工具,集成为 Agent 分析工具之一 | MIT |
| Semgrep | 多语言静态分析引擎,支持自定义规则 | LGPL-2.1 |
| Bandit | Python 安全漏洞扫描工具 | Apache-2.0 |
| Gitleaks | Git 仓库密钥泄露检测工具 | MIT |
| TruffleHog | 深度密钥和凭证扫描器 | AGPL-3.0 |
| OSV-Scanner | Google 开源的依赖漏洞扫描器 | Apache-2.0 |
🧠 核心依赖
| 项目 | 说明 | License |
|---|---|---|
| LangChain | LLM 应用开发框架 | MIT |
| LangGraph | Agent 状态图工作流引擎 | MIT |
| LiteLLM | 统一多 LLM 平台调用接口 | MIT |
| ChromaDB | 轻量级向量数据库 | Apache-2.0 |
| Tree-sitter | 增量解析库,用于代码 AST 分析 | MIT |
| FastAPI | 高性能 Python Web 框架 | MIT |
| React | 用户界面构建库 | MIT |
💡 感谢所有开源贡献者的无私奉献,让我们能站在巨人的肩膀上构建更好的工具!
📞 联系我们
| 🌐 项目主页 | github.com/lintsinghua/DeepAudit |
| 🐛 问题反馈 | Issues |
| 📧 作者邮箱 | lintsinghua@qq.com |