Cognitive Dast Automation

🚀 认知动态应用安全测试自动化

本项目借助OWASP ZAP代理实现自动化动态应用安全测试（DAST），并通过MCP利用谷歌Gemini AI进行认知分析，有效保障应用程序的安全性。

✨ 主要特性

• 自动化DAST扫描：与OWASP ZAP代理深度集成，实现全面自动化扫描。
• 认知分析：借助Gemini AI对安全检测结果进行智能分析。
• MCP服务器：实现模型上下文协议（MCP），便于集成AI工具。
• 命令行界面（CLI）：提供命令行工具，方便执行和管理扫描任务。
• 风险评分：自动进行风险评估和优先级排序。
• 多格式输出：支持JSON和SARIF格式输出，适用于CI/CD和行业标准报告。
• SARIF支持：与GitHub Security、Defender for Cloud、SonarQube等工具兼容。

📦 安装指南

1. 安装依赖

pip install -r requirements.txt

2. 配置环境

cp config/.env.example .env
# 使用你的API密钥编辑.env文件

3. 启动OWASP ZAP

# 使用Docker
docker run -p 8080:8080 owasp/zap2docker-stable zap.sh -config api.disablekey=true

# 或者本地安装
zaproxy -config api.disablekey=true

💻 使用示例

基础用法

# 基本扫描（JSON输出）
python -m mcp_dast.cli.main scan --target http://target.com --gemini-key $GEMINI_KEY --output results.json

# 检查扫描状态
python -m mcp_dast.cli.main status --scan-id abc123

高级用法

# SARIF输出（兼容GitHub Actions）
python -m mcp_dast.cli.main scan --target http://target.com --gemini-key $GEMINI_KEY --output results.sarif --format sarif

# 自定义配置扫描
python -m mcp_dast.cli.main scan \
  --target http://target.com \
  --zap-host 192.168.1.100 \
  --zap-port 8080 \
  --gemini-key $GEMINI_KEY \
  --output scan-results.json \
  --format json

📚 详细文档

组件介绍

MCP DAST服务器

• 核心服务器，实现模型上下文协议。
• 协调ZAP扫描和Gemini分析。
• 支持异步/等待操作，避免阻塞。

ZAP集成

• OWASP ZAP代理客户端。
• 基于API的扫描自动化。
• 警报聚合和分类。

Gemini AI分析器

• 安全检测结果分析。
• 漏洞的认知评估。
• 修复建议。
• 业务影响分析。

CLI工具

• scan：执行完整的DAST评估。
• status：检查扫描进度。
• configure：设置配置。

输出格式

JSON格式

结果包含：

• 原始ZAP扫描结果（警报、风险级别）。
• Gemini AI的认知分析。
• 风险评分和严重程度评估。
• 修复优先级。
• 建议操作。

SARIF格式

行业标准格式（OWASP/SARIF 2.1.0）：

• 与GitHub安全代码扫描兼容。
• 与Microsoft Defender for Cloud兼容。
• 与SonarQube等工具兼容。
• 完整的漏洞元数据和修复指南。

详细的格式信息请参考 OUTPUT_FORMATS.md。

{
  "scan_id": "12345",
  "target_url": "http://example.com",
  "raw_results": {
    "high_alerts": 2,
    "medium_alerts": 5,
    "low_alerts": 8
  },
  "cognitive_analysis": {
    "risk_score": 72.5,
    "severity_assessment": "High",
    "remediation_priority": [...],
    "recommended_actions": [...]
  }
}

配置说明

ZAP配置

Gemini配置

系统架构

本系统采用 四层架构，各层职责明确：

┌─────────────────────────────────────────┐
│   表示层（CLI界面）                    │
│   用户命令和交互点                      │
└─────────────────────────────────────────┘
                    ↓
┌─────────────────────────────────────────┐
│ 应用层（编排）                          │
│ 扫描、分析和报告编排                    │
└─────────────────────────────────────────┘
                    ↓
┌─────────────────────────────────────────┐
│ 集成层（适配器）                        │
│ ZAP、Gemini和输出格式化                 │
└─────────────────────────────────────────┘
                    ↓
┌─────────────────────────────────────────┐
│ 基础设施层（存储）                      │
│ 配置、缓存和持久存储                    │
└─────────────────────────────────────────┘

架构图： 从 [reference - architecture.puml](docs/diagrams/reference - architecture.puml) 开始，你可以进一步探索：

• [system - architecture.puml](docs/diagrams/system - architecture.puml) - 组件概述
• [component - interaction.puml](docs/diagrams/component - interaction.puml) - 详细交互
• [scan - sequence.puml](docs/diagrams/scan - sequence.puml) - 执行流程
• [data - flow.puml](docs/diagrams/data - flow.puml) - 数据转换
• [class - diagram.puml](docs/diagrams/class - diagram.puml) - 面向对象设计
• deployment.puml - 基础设施
• workflow.puml - 流程

MCP DAST服务器
├── ZAP客户端（OWASP代理）
│   └── 扫描管理和警报收集
├── Gemini分析器（AI分析）
│   └── 认知评估和建议
└── CLI界面
    └── 面向用户的命令

开发说明

项目结构

├── src/mcp_dast/
│   ├── zap/           # OWASP ZAP集成
│   ├── gemini/        # Gemini AI分析器
│   ├── cli/           # CLI界面
│   └── server.py      # MCP服务器
├── tests/             # 测试套件
├── config/            # 配置文件
├── docs/              # 文档
└── pyproject.toml     # Poetry配置

本地运行

# 以开发模式安装
pip install -e .

# 运行测试
pytest

# 格式化代码
black src/

# 代码检查
ruff check src/

测试

pytest tests/
pytest tests/ --cov=src

安全注意事项

⚠️ 重要提示

• 切勿将API密钥提交到版本控制中。
• 使用环境变量存储敏感配置信息。
• 验证和清理所有输入。
• 及时更新ZAP和依赖项。

🔧 技术细节

本项目要求Python 3.9及以上版本、OWASP ZAP 2.12及以上版本，并且需要谷歌Gemini API密钥（有免费套餐）。具体的依赖包请参考 requirements.txt。

📄 许可证

本项目采用MIT许可证。

支持

如果遇到问题或有功能请求，请在项目仓库中创建一个issue。