形式化过程间污点分析——发现模式匹配引擎遗漏的问题,将 LLM 代理发现的漏洞转化为规则,在两者都无法单独胜任的场景中实现规模化。
English | 简体中文 | 繁體中文 | 한국어 | Deutsch | Español | Français | Italiano | Dansk | 日本語 | Polski | Русский | Bosanski | العربية | Norsk | Português (Brasil) | ไทย | Türkçe | Українська | বাংলা | Ελληνικά | Tiếng Việt
支持的技术和集成
最全面的 Spring 应用 taint 分析引擎
路线图
更多截图
AI 生成生产代码的速度已经超过了当今安全工具所能跟上的节奏。
LLM 安全代理能发现人类遗漏的漏洞,但在每个文件上消耗大量 token,仍然无法保证万无一失。
AI 编写的代码越多,你就越需要底层的形式化方法。
- 发现模式匹配引擎遗漏的问题。 过程间数据流引擎能够跨函数边界、持久层、别名和异步代码追踪不可信数据。
- 一个发现即可实现全面覆盖。 代码原生规则让你能将每个未覆盖的漏洞转化为规则,引擎会在整个代码库中确定性地应用它,仅需数分钟的 CPU 时间。
- 开源,开箱即用。 引擎、规则、CI 集成——整个技术栈基于 Apache 2.0 和 MIT 许可发布。解锁污点追踪无需付费,编写自定义规则也没有任何限制。
安装脚本 (Linux/macOS)
curl -fsSL https://raw.githubusercontent.com/seqra/opentaint/main/scripts/install/install.sh | bash
通过 Homebrew 安装 (Linux/macOS):
brew install --cask seqra/tap/opentaint安装脚本 (Windows PowerShell)
irm https://raw.githubusercontent.com/seqra/opentaint/main/scripts/install/install.ps1 | iex
扫描你的项目:
opentaint scan或使用 Docker:
docker run --rm -v $(pwd):/project -v $(pwd):/output \
ghcr.io/seqra/opentaint:latest \
opentaint scan --output /output/results.sarif /project完整指南——安装、使用、配置、CI/CD 集成:文档。
- 问题反馈: GitHub Issues
- 社区: Discord
- 邮箱: seqradev@gmail.com
核心分析引擎基于 Apache 2.0 许可证发布。CLI、GitHub Action、GitLab CI 模板和规则基于 MIT 许可证发布。