#漏洞扫描

该工具检查LLM的潜在故障，包括幻觉、数据泄露、提示注入、错误信息、生成有害内容和越狱等。作为免费的命令行工具，支持多种生成模型，如Hugging Face、Replicate、OpenAI等。用户可通过pip或GitHub安装最新版本，并提供详尽的日志记录和报告功能，帮助识别和修复语言模型的漏洞。

SecLists是一个开源的安全测试列表集合，涵盖用户名、密码、URL、敏感数据模式、模糊测试负载和网络shell等多种资源。项目由安全专家维护，旨在为安全评估提供全面的测试数据。SecLists支持多种安装方式，并在GitHub上持续更新，为安全测试工作提供便利。

AppShark是一款开源的Android应用静态污点分析平台，用于扫描应用中的安全漏洞。它支持自定义规则，可检测文件风险、深度链接和HTTP API等多种安全问题。该工具提供详细的分析结果，包括漏洞类别、可能性评分和具体代码位置，适合开发者和安全研究人员使用。

ZAP（Zed Attack Proxy）是一款开源的Web应用安全测试工具，能够自动检测Web应用的安全漏洞。它提供自动和手动测试功能，适用于开发测试和渗透测试。ZAP由国际志愿者团队积极维护，帮助开发者在开发过程中发现和修复安全问题。作为广受欢迎的安全工具，ZAP为企业和个人提供了高效、可靠的Web应用安全测试解决方案。

Agentic Security是一款开源的LLM漏洞扫描工具，旨在提高AI应用的安全性。它提供可定制规则集、LLM模糊测试、API集成和压力测试等功能。该工具集成了多个开源安全组件，支持多种攻击技术，并允许添加自定义数据集。Agentic Security可用于本地测试，也可集成到CI/CD流程中，为LLM应用提供持续的安全评估。

fscan是一款功能全面的内网扫描工具，支持主机探测、端口扫描、密码爆破和漏洞检测等功能。它能进行网络信息搜集、系统漏洞扫描、Web应用探测，并提供多种自定义选项。fscan实现了快速自动化扫描和全面的安全评估，可作为网络安全分析的有效工具。

ARL是一个资产侦察灯塔系统，用于快速发现和管理互联网资产。系统提供域名发现、IP资产整理、端口扫描和Web指纹识别等功能，支持资产分组管理、任务策略配置和周期性监控。此外，ARL集成了GitHub关键字监控、风险检测和nuclei PoC调用等特性，可协助安全团队和渗透测试人员有效识别潜在的攻击面。

ZeroThreat是一款面向Web应用和API的安全扫描工具，支持在CI/CD流程中集成。它使用高级算法进行漏洞检测，包括SQL注入、跨站脚本（XSS）和其他OWASP Top 10安全风险。该工具声称能将手动渗透测试工作量减少90%，并提供90.9%的准确率。ZeroThreat支持多种编程语言和框架，适用于不同规模的开发团队和安全团队。该工具集成了威胁情报功能，可减少外部攻击风险，无需配置即可减少误报，扫描速度比传统方法快5倍。这款工具旨在为开发者和安全专业人员提供高效的网络安全解决方案。

hacker-roadmap是一个系统性的渗透测试学习指南和安全工具资源集。该项目概述了学习渗透测试的关键知识点,并汇集了大量开源的安全评估工具,涵盖信息收集、密码破解、无线网络测试、漏洞利用等多个领域。此外还提供了渗透测试的基本流程、推荐书籍和在线挑战平台等学习资源,为网络安全研究者和渗透测试人员提供了全面的学习参考。

ThreatMapper是一款开源的云原生安全平台，专注于生产环境中的威胁检测和风险评估。该工具能够识别易受攻击的软件组件、暴露的敏感信息以及偏离安全最佳实践的行为。ThreatMapper采用代理检查和无代理监控相结合的方式，实现全面的威胁检测。其ThreatGraph可视化功能有助于识别应用安全中的高风险问题，为安全团队制定保护和修复策略提供依据。

Nuclei是一款基于YAML的开源漏洞扫描工具，支持TCP、DNS、HTTP、SSL等多种协议。它具有高度灵活性，可快速扫描大量目标，实现零误报。Nuclei通过简单的模板语言允许用户自定义各类安全检查。该项目拥有活跃的社区，300多名安全专家贡献了丰富的漏洞模板，持续扩展其应用场景。

reconFTW是一款开源的网络安全侦察工具，可自动化执行全面的目标信息收集和漏洞扫描。该工具集成了子域名枚举、漏洞检测、OSINT、目录扫描、端口探测等多项功能，支持多种侦察技术。reconFTW能够帮助安全研究人员高效地收集目标信息，快速识别潜在的安全风险。

PEASS-ng是一套针对Windows、Linux和MacOS的本地权限提升检测工具集。它自动搜索潜在的权限提升路径，通过彩色输出直观呈现结果，便于识别系统配置漏洞。核心工具包括针对Windows的WinPEAS和Linux的LinPEAS脚本。PEASS-ng支持JSON、HTML和PDF多种输出格式，方便结果分析。该开源项目托管于GitHub，为安全研究和渗透测试提供有力支持。

python3-nmap是一个Python3库，将Nmap端口扫描命令封装为Python函数。支持操作系统检测、服务版本识别和漏洞扫描等多种技术。该库简化了Nmap在Python中的使用，提供跨平台支持和自定义扫描参数。适用于网络管理和安全研究领域。

Vuls是一款开源漏洞扫描工具，支持Linux、FreeBSD、Windows和macOS等多个平台。它无需代理执行扫描，整合多个漏洞数据库和安全公告，提供高质量的检测结果。Vuls支持远程、本地和服务器模式，可动态分析系统状态，扫描非操作系统包漏洞。此外，Vuls能扫描WordPress核心、主题和插件，并通过邮件和Slack发送通知。作为一款适用于云端和本地环境的工具，Vuls为系统管理员提供了全面的安全检测方案。

Grype是一款开源的容器镜像和文件系统漏洞扫描工具。它可扫描主流操作系统包和多种编程语言依赖,支持Docker、OCI和Singularity格式。Grype提供多种输出格式,可集成CI/CD流程,支持按严重程度过滤结果。通过配置可忽略误报,与Syft工具协同实现全面的软件成分分析和漏洞管理。

community-images项目优化流行Docker Hub容器镜像，通过每日扫描和代码精简降低安全风险。支持MariaDB、PostgreSQL、Redis、MongoDB等多种数据库和中间件镜像，致力于提供更安全、更高效的容器解决方案。

nuclei-templates是一个开源的安全漏洞扫描模板库，为Nuclei扫描引擎提供丰富的检测规则。该库包含大量由社区贡献的高质量模板，涵盖CVE漏洞、配置错误和信息泄露等多种安全问题。项目提供详细文档，支持用户创建自定义模板，是自动化安全扫描的重要资源。

这个项目整理了DevSecOps领域的优质资源和工具,包括文章、书籍、社区、会议、培训材料等。它还收录了依赖管理、动态分析、基础设施代码分析等多种工具。开发人员和安全专家可以借助这些资源将安全实践融入开发流程,提升应用安全性。项目内容全面,适合不同水平的DevSecOps从业者参考使用。