AI大模型
国内OpenClaw产品整理
AI编程插件和IDE开发
AI Skills导航资源网站
最全大模型安全TOP10
AI助力攻防演练打点案例
AI赋能自动化安全测试
Skill在Java代审中应用
一文带你搞明白MCP
28个AI帮你打渗透测试
Gandalf AI提示词注入靶场
CTF/PHP/Java代审Skil
OpenClaw攻防演练手册
AI洪流防守对抗新范式
AI代码审计实现自动出货
自动化越狱提示词的生成
WX小程序安全审计Skill
文言文绕过AI大模型限制
JS智能解密渗透测试框架
AI代码审计Agent项目
AI赋能安全领域优质盘点
五款AI开源扫描器指南
LLM大模型红队测试框架
AI渗透测试蜂群项目
Skill渗透评估与提升专家
Java代码审计Skills合集
AI大模型设备安全基线排查
AI Agent架构自动化工具
Agent架构自动渗透工具
Agent自主代码安全审计
Skill恶意代码渗透测试
500+Skills覆盖安全领域
渗透测试利器安全平台
Skills网络安全技能库
开源Claude Code实用神器
Skill供应链扫描神器
AI驱动后渗透综合平台
大模型攻防渗透测试靶场
.NET代码安全审计Skill
小迪安全知识库
-
+
首页
.NET代码安全审计Skill
.NET代码安全审计Skill
# .NET 代码安全审计平台 项目地址:https://github.com/ZMR0zhangmouren/DOT.NET-Code-Security-Audit-Platform [](https://github.com/ZMR0zhangmouren/DOT.NET-Code-Security-Audit-Platform#net-%E4%BB%A3%E7%A0%81%E5%AE%89%E5%85%A8%E5%AE%A1%E8%AE%A1%E5%B9%B3%E5%8F%B0) > 把已有的 38 个 .NET 审计 Skill,从单点 CLI 工具升级为团队级 Web 平台。 基于 [`@openai/agents`](https://www.npmjs.com/package/@openai/agents) 自托管,完全脱离 Copilot CLI / IDE 插件。 [](https://github.com/ZMR0zhangmouren/DOT.NET-Code-Security-Audit-Platform#-%E5%BF%AB%E9%80%9F%E5%90%AF%E5%8A%A8) [](https://github.com/ZMR0zhangmouren/DOT.NET-Code-Security-Audit-Platform#-%E6%B5%8B%E8%AF%95%E4%B8%8E%E8%B4%A8%E9%87%8F%E9%97%A8%E7%A6%81) [](https://github.com/ZMR0zhangmouren/DOT.NET-Code-Security-Audit-Platform#-%E6%B5%8B%E8%AF%95%E4%B8%8E%E8%B4%A8%E9%87%8F%E9%97%A8%E7%A6%81) [](https://github.com/ZMR0zhangmouren/DOT.NET-Code-Security-Audit-Platform#-%E6%B5%8B%E8%AF%95%E4%B8%8E%E8%B4%A8%E9%87%8F%E9%97%A8%E7%A6%81) [](https://github.com/ZMR0zhangmouren/DOT.NET-Code-Security-Audit-Platform/blob/main/.github/workflows/ci.yml) [](https://github.com/ZMR0zhangmouren/DOT.NET-Code-Security-Audit-Platform#-%E8%AE%B8%E5%8F%AF%E8%AF%81) [English Version](https://github.com/ZMR0zhangmouren/DOT.NET-Code-Security-Audit-Platform/blob/main/README.en.md) * * * ## 🏗️ 项目简介 [](https://github.com/ZMR0zhangmouren/DOT.NET-Code-Security-Audit-Platform#%EF%B8%8F-%E9%A1%B9%E7%9B%AE%E7%AE%80%E4%BB%8B) `.NET` 代码安全审计平台是一套**自托管的白盒代码审计 Web 平台**:用户在浏览器里上传 `.NET` 源码 zip,后端用 OpenAI Agents SDK 加载本地 `./dotnet-security-audit-skill/`(上游开源 .NET 审计 Skill 集合,clone 自 [`ZMR0zhangmouren/dotnet-security-audit-skill`](https://github.com/ZMR0zhangmouren/dotnet-security-audit-skill))的 38 个审计 Skill(基础设施 6 + 框架专项 9 + 漏洞专项 31 + shared 规范 9),按"先分后合"两阶段策略产出可读、可分派、可追踪的漏洞库与报告。 * **🎯 核心目标** —— 把子仓库已有的"审计编排者"**可被 Web 多人协作、被持久化、被审计**,而不是另起一套编排(Q17 硬约束) * **🚫 非目标** —— 不替换/不修改 `./dotnet-security-audit-skill/`(上游开源项目,由 [`ZMR0zhangmouren/dotnet-security-audit-skill`](https://github.com/ZMR0zhangmouren/dotnet-security-audit-skill) 维护,平台通过 `SkillBundleVersion` 锁定其 commit);不让 Agent 自主修改源码;不脱离 `@openai/agents`(Q14 锁定) | # | 能力 | 说明 | |----|-------------------|---------------------------------------------------------------------------------------------------| | 1 | 多端点接入 | zip 上传 / from-git(HTTPS + SSH + 8 类错误分类)/ from-github(REST tarball + 凭证优先级 env > git_credentials) | | 2 | 真实并发扫描 | BullMQ + Redis,默认并发 2,可配 1–10;崩溃可恢复 + Bull-Board 可视化 | | 3 | 漏洞库 + 实例双层 | VulnLibraryEntry 聚合根因,Vulnerability 记录实例;跨 ScanRun 自动去重 | | 4 | 多 ScanRun 对比 | GET /api/projects/:id/scans/diff?a=&b= 返回完整 ScanDiff | | 5 | 真 JWT + 角色守卫 | JwtStrategy + JwtAuthGuard + RolesGuard + @Roles('admin') 拦截写端点 | | 6 | 多 Skill Bundle 并存 | setDefault 事务原子;replay-with-latest 用最新 Skill 重跑旧 ScanRun | | 7 | 报告 Markdown 渲染 | react-markdown + remark-gfm + rehype-highlight + 章节导航 | | 8 | Agent Trace 全链路追踪 | agent_traces 表 + /api/scan-runs/:id/trace + Timeline 页面 | | 9 | 覆盖率门禁 | @vitest/coverage-v8 + shared/web 100% / api 80.18% 阈值启用 | | 10 | Docker 化部署 | apps/api + apps/web 多阶段构建 + docker-compose.yml 3 服务 | ## 路线图 [](https://github.com/ZMR0zhangmouren/DOT.NET-Code-Security-Audit-Platform#%EF%B8%8F-%E8%B7%AF%E7%BA%BF%E5%9B%BE) ### ✅ 已落地(本仓库当前状态) [](https://github.com/ZMR0zhangmouren/DOT.NET-Code-Security-Audit-Platform#-%E5%B7%B2%E8%90%BD%E5%9C%B0%E6%9C%AC%E4%BB%93%E5%BA%93%E5%BD%93%E5%89%8D%E7%8A%B6%E6%80%81) * ✅ 多 Skill Bundle 并存 + `replay-with-latest`(§11 Q7) * ✅ 真接 `from-git`(HTTPS token + SSH key + 8 类错误分类) * ✅ 真接 `from-github`(REST tarball + 凭证优先级 env > git\_credentials) * ✅ BullMQ + Redis + Bull-Board 可视化 * ✅ 真 JWT 解码 + AdminGuard + `@Roles('admin')` 拦截写端点 * ✅ Agent Trace 全链路追踪(`agent_traces` 表 + 端点 + Timeline 页面) * ✅ 多 ScanRun 对比 + 报告 Markdown 渲染 + 章节导航 * ✅ Vitest coverage v8 provider + 阈值强制门禁 * ✅ Phase 4 Docker 化部署(多阶段 + compose) * ✅ refresh-token + HttpOnly Cookie + 旋转/吊销 * ✅ Phase 3 漏洞趋势图(VulnLibrary 按时间聚合) ### 📋 待办候选 [](https://github.com/ZMR0zhangmouren/DOT.NET-Code-Security-Audit-Platform#-%E5%BE%85%E5%8A%9E%E5%80%99%E9%80%89) * Phase 2 e2e:web 端 React Testing Library 覆盖 `pages/` 12 个页面 * 真 git clone e2e:用公开 repo + 真凭证实测 * Skill 升级自动跑一遍重扫(CI hook) * 远程备份:用户配置 git remote URL 后 `git push`
xiaodi
2026年7月1日 14:49
10
0 条评论
转发
收藏文档
上一篇
下一篇
手机扫码
复制链接
手机扫一扫转发分享
复制链接
分享
链接
类型
密码
更新密码
有效期
Markdown文件
Word文件
PDF文档
PDF文档(打印)