Velonus – 开源 AppSec 扫描仪，可消除 SAST 噪声的重复数据

Velonus 针对 Python 开发人员的安全扫描实际上告诉您如何修复问题。一声令下。五台扫描仪。零噪音。 pip install velonus velonus scan ./your-project 需要 Python 3.10+ 演示 $ velonus scan ./myapp 使用 5 个工具扫描...秘密 ████████████████████ 0.3s bandit ████████████████████ 2.1s semgrep ████████████████████ 4.2 秒点审核 ████████████████████ 1.8 秒安全 ████████████████████ 1.2 秒┌──────────────┬────────────────────────────────────┬──────────────────┬──────────┐ │ 严重性 │ 寻找 │ 位置 │ 工具 │ ├──────────────┼──────────────────────────────────┼────────────────┼──────────┤ │ ? 关键 │ 硬编码的 AWS 密钥 │ config.py:14 │ 秘密 │ │ ? 关键 │ 硬编码的 OpenAI API 密钥 │ llm_client.py:8 │ Secrets │ │ ? CRITICAL │ 通过字符串格式进行 SQL 注入 │ db/queries.py:41 │ semgrep │ │ ? HIGH │ 使用 MD5 进行密码散列 │ auth/utils.py:27 │ bandit │ │ ? HIGH │ 请求 2.28.0 — CVE-2023-32681 (8.1) │requirements.txt │ pip-aud │ │ ? MEDIUM │ 通过子进程进行 Shell 注入 │ runner.py:19 │ bandit │ │ ? MEDIUM │ 硬编码的 JWT 秘密 │ auth/tokens.py:3 │ 秘密 │ └──────────────┴────────────────────────────────────┴────────────────┴──────────┘ 3 CRITICAL │ 7 HIGH │ 12 MEDIUM │ 34 LOW 检测内容 类别工具 捕捉内容 硬编码秘密 trufflehog + 熵 API 密钥、AWS 凭证、 JWT 令牌、PEM 密钥 Python SAST Bandit 注入、弱加密、不安全 shell exec 模式分析 Semgrep OWASP 前 10 个漏洞模式 依赖性 CVE pip-audit 具有 CVSS v3 分数的已知 CVE 漏洞 DB 安全包漏洞交叉引用 所有结果都标准化为带有 CWE 标签、OWASP 前 10 个类别和用于重复数据删除的确定性指纹的统一模式。输出格式 velonus scan ./ # 丰富的终端表（默认） velonus scan ./ --format json # JSON 数组 — 管道到 jq、脚本等。 velonus scan ./ --sarif # SARIF 文件→ GitHub 安全选项卡 velonus scan ./ --severity high # 仅过滤为高和关键 velonus scan ./ -o results/scan.sarif # 将 SARIF 写入自定义路径 CI 集成 - 名称: Velonus 安全扫描运行 : | pip 安装 velonus velonus 扫描。 --sarif -o velonus.sarif - name : 上传到 GitHub 安全选项卡使用 : github/codeql-action/upload-sarif@v4 和 : sarif_file : velonus.sarif Velonus 在关键或高发现时退出 1 — 将其用作硬 CI 门。路线图阶段状态 ✅ 第 0 阶段 — CLI + 秘密检测已完成 ✅ 第 1 阶段 — 完整的扫描程序管道（Bandit、Semgrep、pip-audit、安全性）已完成 ? 第 2 阶段 — AI 上下文引擎（可利用性评分 + 修复生成）构建 ? 第 3 阶段 — GitHub PR 集成（内联修复、一键接受） 已计划 ? 第 4 阶段 — Web 仪表板 已计划 Alpha 通知 Velonus 处于 alpha 状态。它有效——我们自己使用它——并且我们希望得到您的反馈。预计会有粗糙的边缘。报告问题，我们将快速解决。请参阅 CONTRIBUTING.md 了解开发设置、测试说明和 PR 指南。发现安全问题？请参阅 SECURITY.md 。欢迎所有贡献——尤其是扫描仪改进和误报报告。许可证 MIT — 请参阅许可证。如果没有，请安装 uv pip install uv 安装所有工作区包 uvsync --all-extras --dev 激活虚拟环境源 .venv/bin/activate # macOS/Linux .venv\Scripts\Activate.ps1 # Windows PowerShell 以可编辑模式安装 CLI pip install -e apps/cli pip install -e packages/scanner pip install -e packages/normalizer **验证安装：** ```bash velonus --help 用法 扫描 a project # 扫描当前目录 velonus scan ./ # 扫描特定路径 velonus scan ./src # 仅显示 HIGH 及以上 velonus scan ./ --severity high # 详细输出（显示每个工具的计时） velonus scan ./ --verbose 输出格式 # 默认：丰富的终端表 velonus scan ./ # JSON（管道友好） velonus scan ./ --format json # 写入 SARIF 文件（用于GitHub 安全选项卡) velonus scan ./ --sarif # 将 SARIF 写入自定义路径 velonus scan ./ -o results/velonus.sarif 在 CI 中使用 (GitHub Actions) - name : Velonus security scan run : velonus scan 。 --sarif -o velonus-results.sarif - name : 上传到 GitHub 安全选项卡使用 : github/codeql-action/upload-sarif@v4 和 : sarif_file : velonus-results.sarif 当检测到关键或高结果时，Velonus 以代码 1 退出 - 将其用作 CI 门。预提交钩子 # .pre-commi