argusred v2.0.19：兼具代码审计与攻击功能，免费试用还送200万令牌！

【argusred简介】argusred v2.0.19是一个具有自助式命令行界面的工具它有两种模式安全扫描模式用于读取代码渗透测试模式则针对授权系统尝试进行漏洞利用。支持macOS、LinuxWindows支持即将上线。【安装与注册】可通过命令“$ brew install CosineAI/argusred/argusred argusred”或“$ curl -fsSL https://raw.githubusercontent.com/CosineAI/argusred-dist/main/install.sh | sh”进行免费安装。首次运行时会弹出Cosine注册界面与运行Cosine编码代理的登录方式相同新账户将获得200万个免费令牌。【安全扫描设置】扫描开始前需进行相关设置。扫描范围方面8个模块中5个处于激活状态包括依赖漏洞分析、密钥与凭证检测等。还可选择是否开启漏洞验证以及设置代理权限如终端访问、网络请求、文件写入等权限。设置完成后按相应按键操作输出结果是一份Markdown报告包含问题位置、严重程度、原因及修复建议。【漏洞验证方式】开启漏洞验证后代理会在初始报告之后尝试对每个发现的问题进行安全复现。有三种方式Docker复现过程在临时、隔离容器中运行不会触及主机容器运行结束后销毁实时文件系统针对实际检出的代码进行复现代码为只读模式禁用默认仅报告问题不进行复现尝试。【安全扫描结果示例】以Bank of Anthos的安全审计报告为例总体风险评级为严重存在多个严重和高严重性的漏洞如每个账本服务的可伪造令牌、前端认证辅助工具中禁用了JWT签名验证等。完整报告包含每个模块的详细发现。【安全扫描不做的事】该工具不会修改代码Go封装层强制执行只读模式不进行模糊测试、动态应用安全测试或实时漏洞利用不会包含无法在代码中找到依据的发现不报告基于主观判断的漏洞。【安全扫描常见问题解答】扫描时间方面对Bank of Anthos约30,000行代码进行6个模块的扫描大约需要10分钟对Symfony约150万行代码进行全量扫描大约需要40分钟扫描时间与代码库大小呈亚线性关系开始扫描前终端用户界面会显示实时预估时间。输出文件是位于.argusred/scan-日期.md的Markdown文件保存在本地机器上。安装免费首次运行新账户有200万个免费令牌之后按Cosine使用规则计费。【渗透测试设置】同一个命令行界面切换到第二个标签页可进行渗透测试此模式需要授权使用前需预约明确扫描范围和授权信息。开始前需设置目标仅添加有权限测试的系统设置测试力度有被动、激进等不同选择设置代理权限如终端访问、网络请求、文件写入等。设置完成后可开始渗透测试。【渗透测试结果示例】以api.your-app.com的渗透测试报告为例状态为2个严重漏洞1个高严重性漏洞3个中等严重性漏洞所有漏洞均可复现。范围为2个主机47个端点超出范围的项目将被推迟并标记为下一次测试内容。完整总结包含每个发现的证据和修复建议。【渗透测试不做的事】未经签署授权不会运行需明确目标、时间范围和允许的操作不会扩大范围仅针对授权目标测试不会超过预约的时间范围不会进行越权操作若发现问题需要更深访问权限测试将停止并记录。【渗透测试常见问题解答】扫描模式读取代码并推断渗透测试模式针对授权运行中的系统实际尝试漏洞利用二者二进制模式、代理行为、输出结果都不同。范围在预约时通过提供主机/端点信息并签署同意书确定代理网络访问范围受限。费用在预约时根据每次测试情况确定范围和测试力度决定时间范围时间范围决定价格。【argusred的技术基础】argusred基于Cosine针对攻击性安全进行微调的模型运行而非使用现成API并通过提示包装器调用。安全性由位于模型之下的Go封装层保障在安全扫描模式下阻止修改代码的工具在渗透测试模式下限制网络出站流量。安装的二进制文件与内部使用的相同不是开源的可在防火墙后运行并查看操作后再决定是否在真实代码上使用。