Yidun Skill Sec

⚡ 智能代码安全扫描 · 混合云地检测

网易易盾智能代码安全扫描器,采用本地+云端混合检测,指纹提取、行为分析与威胁情报联动,为第三方代码包提供量化安全评分。

收藏
4.2k
安装
1.2k
版本
0.0.5
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

YidunSkillSec 是一款面向第三方代码包的安全扫描工具,采用四阶段混合检测架构:

Phase 0 · 来源审查:验证注册表可信度、域名黑名单、作者账户年龄与验证状态,可疑来源直接触发熔断。

Phase 1 · 指纹提取:计算文件级 MD5 哈希与复合包指纹,建立完整库存用于缓存查询与审计追踪。

Phase 2 · 行为扫描:静态分析 17 类危险行为标签(网络外联、凭据窃取、提权操作、代码混淆、提示词注入等),无需执行代码即可识别威胁模式。

Phase 3 · 云端情报(默认启用):上传非敏感元数据(哈希、标签、触发代码片段)至网易易盾威胁情报中心,获取置信度评分与人工复核建议。支持 10 秒超时自动降级本地模式。

最终输出 0-100 量化安全评分与五级威胁等级(CLEAR / MINOR / ELEVATED / SEVERE / CRITICAL),硬性规则对凭据窃取与提权操作实施评分下限约束。

---

显著优点

1. 分层纵深防御:来源、静态、云端三重验证,单一环节漏检可由其他环节补偿
2. 隐私优先设计:仅上传触发检测的代码片段行,环境变量值自动脱敏,敏感路径仅传访问模式

3. 弹性可用架构:网络受限时自动降级本地模式,保证扫描不中断

4. 细粒度可观测性:每标签独立计分、证据溯源、UUID 全程追踪

5. 企业级情报背书:网易易盾(as.dun.163.com)为持牌网络安全服务商

潜在缺点与局限性

| 局限类型 | 具体说明 |
|---------|---------|
| 静态分析盲区 | 无法检测运行时动态加载、加密混淆的有效载荷、零日漏洞利用链 |
| 云端依赖权衡 | 默认启用云分析,离线环境需显式关闭(`YIDUN_SKILL_SEC_CLOUD=false`) |
| MD5 指纹局限 | 哈希算法为 MD5,存在碰撞攻击理论风险,仅用于缓存匹配非安全校验 |
| 误报可能性 | 合法的网络调用、动态代码生成可能被标记为可疑行为 |
| 跨语言覆盖 | 模式匹配规则针对常见脚本语言(JS/Python/Shell),小众语言覆盖不足 |

适合人群

  • AI Agent 开发者:防止供应链投毒与提示词注入攻击
  • DevSecOps 团队:CI/CD 流水线中的自动化安全门禁
  • 个人开发者:安装 npm/pip 包前的快速安全自检
  • 企业安全合规:满足第三方组件审计与溯源要求

常规风险

1. 数据出境合规:云端分析涉及跨境数据传输,需确认符合组织数据主权政策
2. API 可用性:云服务中断或限流可能影响扫描时效

3. 规则滞后性:新型攻击模式需等待云端规则更新

4. 过度信任评分:高评分≠绝对安全,需结合业务场景人工复核

Yidun Skill Sec 内容

手动下载zip · 15.6 kB
README.mdtext/markdown
请选择文件