#漏洞检测

该框架利用大型语言模型生成并评估真实世界的C/C++项目的模糊测试目标，并通过OSS-Fuzz平台进行基准测试。支持的模型包括OpenAI GPT系列和Gemini系列。评估指标涵盖可编译性、运行时崩溃、运行时覆盖率和与现有人类编写目标的差异。最新实验显示，生成的模糊测试目标显著提升了代码覆盖率，并发现了多项新漏洞。详细使用指南和合作信息，请参见项目页面。

TscanPlus是一款综合性网络安全检测和运维工具，专注于快速资产发现、识别和检测。核心功能包括端口探测、服务识别、URL指纹识别和POC验证。内置大量高质量指纹和POC数据，实现指纹与POC联动。支持多种服务的弱口令破解，并提供编码解码、加密解密等辅助功能。该工具旨在帮助安全团队高效发现资产薄弱点和攻击面，提升网络安全防御能力。

SSHamble是一个开源的SSH实现研究工具，专注于探索身份验证攻击、会话后攻击和预认证状态转换等领域。它提供扫描和分析功能，支持自定义检查和交互式会话。该工具适用于安全研究人员和网络管理员，持续更新以提高SSH服务的安全性。

ssh-audit是一款开源的SSH配置审计工具,可全面分析服务器和客户端的SSH协议、算法和密钥等信息。它能识别潜在安全风险,提供针对性加固建议,支持标准审计和策略审计,还可进行DoS攻击测试。该工具跨平台兼容,无外部依赖,是IT管理员和安全人员进行SSH安全评估与加固的实用工具。

Slither是一个开源的智能合约静态分析框架,支持Solidity和Vyper语言。它能够检测常见漏洞,生成合约报告,并允许开发自定义分析。Slither具有低误报、快速分析、易于集成等特点,可帮助开发者提高代码质量,增强对合约的理解。该工具支持Solidity 0.4及以上版本,平均分析时间不到1秒。

Trivy是一款开源的多功能安全扫描工具，支持容器镜像、文件系统、Git仓库、虚拟机镜像、Kubernetes和AWS等多种目标。它能够检测操作系统包和软件依赖、已知漏洞、基础设施即代码问题、错误配置、敏感信息和软件许可证。Trivy适用于大多数主流编程语言、操作系统和平台，提供全面的安全分析功能。

Multiplier是一种开源的代码理解工具，通过将构建产物存储到数据库并提供C++和Python API访问，实现了精确全面的代码分析。该工具可唯一识别构建过程中的所有实体，包括令牌、AST节点和中间表示。Multiplier的API提供全程序级别的高质量信息，便于分析人员识别代码模式并准确反馈结果。这一特性使其在漏洞检测和变体分析等任务中表现出色。

DependencyCheck是一款开源的软件组成分析工具，专门用于检测项目依赖中的已知漏洞。通过识别依赖项的CPE标识符，它能生成包含相关CVE链接的报告。该工具支持Maven、Gradle和Ant等多种构建系统，提供命令行接口和Jenkins插件。DependencyCheck使用NVD API获取漏洞数据，建议使用API密钥来提升性能。

Binarly Transparency Platform是一款创新的二进制风险情报平台，专注于固件安全和软件供应链风险管理。该平台采用自动化二进制分析和AI辅助技术，无需源代码即可检测和修复已知及未知漏洞，重新定义了固件和漏洞管理。通过持续合规性监控，Binarly帮助企业全面提升软件供应链安全性，为设备和软件开发的每个环节提供安全保障。

EMBA是一款开源的嵌入式设备固件安全分析工具。它集成了固件提取、静态分析和动态分析功能，能自动检测潜在安全漏洞，如不安全的二进制文件、过时软件组件、脆弱脚本和硬编码密码等。EMBA提供命令行界面和Web报告，适用于渗透测试人员和产品安全团队进行全面的固件安全评估。

Commix是一款开源渗透测试工具，专注于自动化检测和利用命令注入漏洞。该工具支持多个Python版本，提供丰富的功能选项和过滤器绕过技术。Commix能够帮助安全研究人员快速识别Web应用中的命令注入漏洞，提高测试效率。它的多语言支持和持续更新使其成为网络安全领域的重要工具。Commix提供了用户友好的命令行界面，支持多种注入技术，并具有绕过Web应用防御机制的能力。该工具不仅适用于安全专业人士，也是学习Web安全的有益资源。

LadonGo是一款开源的内网渗透测试工具,支持Windows、Linux和Mac等多个操作系统。它集成了37项功能,涵盖主机探测、服务识别、端口扫描、弱口令检测、远程命令执行以及高危漏洞扫描等。该工具采用Go语言开发,具有跨平台兼容性好、使用简便等优点,能够帮助安全研究人员高效完成内网安全评估工作。

Lynis是一款针对UNIX系统的开源安全审计和加固工具。它通过深入扫描系统来检测配置问题和漏洞,并提供加固建议。Lynis主要用于自动化安全审计、合规性测试和漏洞检测,可帮助提高系统安全性。该工具以其简单易用、定期更新和开放透明的特点,成为系统管理员、安全审计员和渗透测试人员的重要工具。

Eclipse Steady是一款开源的Java应用安全分析工具，专注于检测、评估和缓解已知漏洞。它结合静态和动态分析技术，可准确识别项目中的漏洞代码并提供执行证据。Steady采用基于代码和使用情况的检测方法，比传统工具更精确，有助于开发团队安全使用开源组件并应对OWASP Top 10中的A6风险。该工具支持漏洞检测、影响评估和缓解建议等功能，为Java项目的安全开发提供全面支持。

VulBERTa-MLP-D2A是一个基于RoBERTa架构的深度学习模型，用于检测源代码中的安全漏洞。该模型通过对开源C/C++项目代码进行预训练，学习代码语法和语义的深层表示。在多个数据集的评估中，VulBERTa-MLP-D2A在漏洞检测任务上表现出色，达到了领先水平。模型设计简洁，训练成本较低，为代码安全分析提供了高效可靠的解决方案。

VulBERTa-MLP-MVD是一款基于深度学习的源代码漏洞检测工具。该模型在开源C/C++项目代码上预训练RoBERTa架构，有效学习代码语法和语义知识。经Vuldeepecker、Draper等多个数据集评估，VulBERTa展现出卓越的漏洞识别能力。其简化的分词流程提高了易用性，同时在训练数据量和模型规模上保持了较低开销，为代码安全分析提供了高效解决方案。

该项目基于CodeBert微调RobertaForSequenceClassification模型，用于检测代码漏洞。研究者从MSR数据集选取平衡样本进行训练和测试，使用'func_before'字段分类代码。模型在准确率、F1值、精确率和召回率方面表现良好，为代码安全分析提供了实用工具。测试结果显示准确率达70.23%，F1值为0.6482，精确率为79.21%，召回率为54.86%。

VulBERTa-MLP-Draper是一款专注于代码安全分析的深度学习模型。通过在开源C/C++项目上训练，该模型采用RoBERTa架构和自定义标记化流程，实现了对代码语法和语义的深度理解。在多个标准数据集的评测中，模型以较小的参数规模达到了领先的检测性能。