项目概述
CloudBreach是一个创新的全栈自动化渗透测试平台,专门针对云原生环境设计。该平台通过集成eBPF技术、智能修复系统、云资源管理和报告生成等功能,提供了从风险识别到修复验证的完整安全生命周期管理。
🔬 研究背景
研究问题 : 与传统的安全工具相比,基于eBPF的自动化渗透测试工具在检测和模拟云原生环境中的多阶段攻击链方面有多大的有效性?
解决方案 : CloudBreach采用五阶段方法路径:
风险量化 : 基于攻击图论的云原生攻击链建模动态验证 : 定制eBPF探针监控容器逃逸和横向移动云资源管理 : 多云平台统一管理和安全扫描智能报告 : 自动化安全报告生成和分析补救评估 : 自动生成修复建议并通过Git集成
✨ 功能特性
🛡️ 基础架构即代码(IaC)扫描
支持 Terraform , Kubernetes , Docker 配置文件
集成 Checkov , Terrascan , tfsec , KICS 等扫描工具
自动识别安全配置错误和合规性问题
实时扫描结果展示和历史记录
🔍 eBPF实时监控
容器逃逸检测 : 监控危险的系统调用和挂载操作权限提升监控 : 检测异常的权限变更横向移动检测 : 分析网络连接和进程行为文件访问监控 : 跟踪敏感文件的访问模式进程注入检测 : 识别恶意进程注入行为实时事件流 : WebSocket实时推送安全事件
☁️ 云资源管理 (新增)
多云平台支持 : AWS、Azure、GCP、阿里云统一管理资源发现 : 自动发现和同步云资源安全扫描 : 云资源安全配置检查风险评估 : 基于CVSS的风险评分资源监控 : 实时监控资源状态变化批量操作 : 支持批量资源管理操作
📊 报告生成系统 (新增)
多种报告类型 : 安全报告、漏洞报告、合规报告、风险评估报告多种输出格式 : PDF、HTML、JSON、CSV、XLSX自定义报告 : 支持自定义报告模板和内容定时生成 : 支持定时自动生成报告报告历史 : 完整的报告生成历史和版本管理一键下载 : 支持报告在线预览和下载
🤖 智能修复系统
自动修复建议 : 基于扫描结果生成针对性修复方案Git集成 : 自动创建Pull Request进行修复备份机制 : 修复前自动创建备份分支效果验证 : 修复后自动验证安全性改进修复模板 : 预定义修复模板库
📈 攻击图可视化
威胁建模 : 基于攻击图论构建威胁模型交互式可视化 : 使用Plotly.js展示攻击路径风险矩阵 : 结合CVSS评分和资源敏感性优先级排序 : 智能排序威胁优先级攻击路径分析 : 多维度攻击路径分析
🔐 用户管理与权限控制
多租户支持 : 支持多组织、多项目管理RBAC权限控制 : 基于角色的访问控制SSO集成 : 支持LDAP、OAuth2等单点登录审计日志 : 完整的用户操作审计记录
🏗️ 系统架构
整体架构图
<iframe title="File display" role="presentation" class="render-viewer" sandbox="allow-scripts allow-same-origin allow-top-navigation allow-popups" src="https://viewscreen.githubusercontent.com/markdown/mermaid?docs_host=https%3A%2F%2Fdocs.github.com&color_mode=light#387172af-d0a4-490e-aaab-fbb31cfe3415 " name="387172af-d0a4-490e-aaab-fbb31cfe3415" data-content="{"data":"graph TB\n subgraph \"前端层\"\n A[Web界面] --> B[仪表板]\n A --> C[云资源管理]\n A --> D[报告生成]\n A --> E[攻击图可视化]\n end\n \n subgraph \"API网关层\"\n F[Nginx反向代理] --> G[负载均衡]\n G --> H[API路由]\n end\n \n subgraph \"应用服务层\"\n H --> I[认证服务]\n H --> J[扫描服务]\n H --> K[监控服务]\n H --> L[云资源服务]\n H --> M[报告服务]\n H --> N[修复服务]\n H --> O[可视化服务]\n end\n \n subgraph \"数据处理层\"\n P[eBPF监控器] --> Q[事件处理器]\n R[IaC扫描器] --> S[规则引擎]\n T[云API集成] --> U[资源同步器]\n end\n \n subgraph \"存储层\"\n V[PostgreSQL] --> W[用户数据]\n V --> X[配置数据]\n Y[Redis] --> Z[缓存]\n Y --> AA[会话]\n BB[Elasticsearch] --> CC[日志数据]\n BB --> DD[事件数据]\n EE[MinIO] --> FF[报告文件]\n EE --> GG[备份数据]\n end\n \n subgraph \"监控运维层\"\n HH[Prometheus] --> II[指标收集]\n JJ[Grafana] --> KK[监控仪表板]\n LL[Jaeger] --> MM[链路追踪]\n NN[Kibana] --> OO[日志分析]\n end\n"}">
核心组件架构
组件类别
技术选择
版本
说明
后端核心 Go
1.21+
高性能并发处理,内存安全
Web框架 Gin
v1.9+
轻量级HTTP框架
扫描引擎 Python
3.9+
丰富的安全工具生态
监控内核 eBPF/C
5.8+
低开销实时内核监控
前端界面 HTML5/JS
ES6+
现代化响应式设计
UI框架 Bootstrap
5.3+
响应式组件库
数据可视化 Plotly.js
2.26+
交互式图表库
主数据库 PostgreSQL
15+
关系型数据存储
缓存数据库 Redis
7+
高性能缓存和会话
搜索引擎 Elasticsearch
8.8+
全文搜索和日志分析
对象存储 MinIO
Latest
S3兼容对象存储
监控指标 Prometheus
Latest
时序数据库和监控
监控面板 Grafana
Latest
可视化监控仪表板
链路追踪 Jaeger
Latest
分布式追踪系统
容器化 Docker
24+
容器化部署
编排平台 Kubernetes
1.25+
容器编排和管理
数据流架构
<iframe title="File display" role="presentation" class="render-viewer" sandbox="allow-scripts allow-same-origin allow-top-navigation allow-popups" src="https://viewscreen.githubusercontent.com/markdown/mermaid?docs_host=https%3A%2F%2Fdocs.github.com&color_mode=light#36107232-3ea6-4b92-9792-17528ffc7f43 " name="36107232-3ea6-4b92-9792-17528ffc7f43" data-content="{"data":"sequenceDiagram\n participant U as 用户\n participant W as Web界面\n participant A as API网关\n participant S as 服务层\n participant D as 数据层\n participant M as 监控层\n \n U->>W: 访问平台\n W->>A: HTTP请求\n A->>S: 路由到服务\n S->>D: 数据操作\n D-->>S: 返回数据\n S-->>A: 响应数据\n A-->>W: HTTP响应\n W-->>U: 展示结果\n \n S->>M: 发送指标\n M->>M: 存储监控数据\n"}">
🚀 部署指南
环境要求
组件
最低要求
推荐配置
操作系统 Linux 5.8+
Ubuntu 22.04 LTS
CPU 2核心
4核心+
内存 4GB
8GB+
存储 20GB
50GB+ SSD
Go版本 1.21+
1.21.5+
Python版本 3.9+
3.11+
Docker 24.0+
最新版本
Kubernetes 1.25+
1.28+ (可选)
方式一:Docker Compose 部署 (推荐)
1. 克隆项目
git clone https://github.com/your-org/cloudbreach.git
cd cloudbreach2. 环境配置
# 复制配置文件
cp config/config.yaml.example config/config.yaml
# 编辑配置文件 (可选)
vim config/config.yaml3. 一键启动
# 启动完整环境
docker-compose up -d
# 查看服务状态
docker-compose ps
# 查看日志
docker-compose logs -f cloudbreach4. 访问服务
方式二:Kubernetes 部署
1. 准备集群
# 确保kubectl已配置
kubectl cluster-info
# 创建命名空间
kubectl create namespace cloudbreach2. 部署应用
# 应用Kubernetes配置
kubectl apply -f k8s/deployment.yaml
# 检查部署状态
kubectl get pods -n cloudbreach
kubectl get services -n cloudbreach3. 配置Ingress (可选)
# 如果使用Ingress
kubectl apply -f k8s/ingress.yaml
# 获取外部访问地址
kubectl get ingress -n cloudbreach方式三:本地开发部署
1. 安装依赖
# 安装Go依赖
go mod download
# 安装Python依赖
pip install -r requirements.txt
# 安装eBPF工具链 (Ubuntu/Debian)
sudo apt-get update
sudo apt-get install -y clang llvm libbpf-dev linux-headers-$(uname -r)2. 编译项目
# 使用Makefile编译
make build
# 或手动编译
go build -o bin/cloudbreach cmd/cloudbreach/main.go3. 启动服务
# 启动数据库服务
docker-compose up -d postgres redis elasticsearch
# 启动主应用
./bin/cloudbreach server --config config/config.yaml配置说明
核心配置文件 (config/config.yaml)
# 服务器配置
server:
host: "0.0.0.0"
port: 8080
tls:
enabled: false
# 数据库配置
database:
type: "postgres" # 或 "sqlite"
host: "localhost"
port: 5432
database: "cloudbreach"
username: "cloudbreach"
password: "cloudbreach123"
# eBPF监控配置 (Linux环境)
ebpf_monitor:
enabled: true
programs:
- "container_escape"
- "privilege_escalation"
- "network_anomaly"
# 云平台配置
cloud_providers:
aws:
enabled: true
region: "us-west-2"
# 配置AWS凭证
azure:
enabled: false
# 配置Azure凭证
gcp:
enabled: false
# 配置GCP凭证环境变量配置
# 数据库配置
export DB_HOST=localhost
export DB_PORT=5432
export DB_NAME=cloudbreach
export DB_USER=cloudbreach
export DB_PASSWORD=cloudbreach123
# Redis配置
export REDIS_HOST=localhost
export REDIS_PORT=6379
export REDIS_PASSWORD=cloudbreach123
# 云平台凭证
export AWS_ACCESS_KEY_ID=your_access_key
export AWS_SECRET_ACCESS_KEY=your_secret_key
export AWS_DEFAULT_REGION=us-west-2服务验证
健康检查
# 检查主服务
curl http://localhost:8080/health
# 检查API状态
curl http://localhost:8080/api/v1/status
# 检查数据库连接
curl http://localhost:8080/api/v1/health/db功能测试
# 测试IaC扫描
curl -X POST http://localhost:8080/api/v1/scan \
-H "Content-Type: application/json" \
-d '{"path": "test-configs", "scan_type": "terraform"}'
# 测试云资源管理
curl http://localhost:8080/api/v1/cloud/resources
# 测试报告生成
curl -X POST http://localhost:8080/api/v1/reports/generate \
-H "Content-Type: application/json" \
-d '{"name": "测试报告", "type": "security", "format": "pdf"}'📚 API文档
认证接口
方法
路径
描述
参数
POST
/api/v1/auth/login用户登录
username, password
POST
/api/v1/auth/logout用户登出
-
GET
/api/v1/auth/profile获取用户信息
-
PUT
/api/v1/auth/profile更新用户信息
name, email
扫描接口
方法
路径
描述
参数
POST
/api/v1/scan启动扫描
path, scan_type
GET
/api/v1/scan/{id}获取扫描结果
-
GET
/api/v1/scan/history获取扫描历史
page, limit
DELETE
/api/v1/scan/{id}删除扫描记录
-
云资源管理接口
方法
路径
描述
参数
GET
/api/v1/cloud/resources获取云资源列表
provider, type, page, limit
POST
/api/v1/cloud/resources/refresh刷新云资源
provider
POST
/api/v1/cloud/resources添加云资源
provider, type, config
GET
/api/v1/cloud/resources/{id}获取单个资源详情
-
PUT
/api/v1/cloud/resources/{id}更新云资源
name, config
DELETE
/api/v1/cloud/resources/{id}删除云资源
-
POST
/api/v1/cloud/resources/{id}/scan扫描云资源
-
POST
/api/v1/cloud/sync同步云资源
provider
报告生成接口
方法
路径
描述
参数
GET
/api/v1/reports获取报告列表
type, status, page, limit
POST
/api/v1/reports/generate生成报告
name, type, format, range
GET
/api/v1/reports/{id}获取报告详情
-
GET
/api/v1/reports/{id}/download下载报告
-
DELETE
/api/v1/reports/{id}删除报告
-
监控接口
方法
路径
描述
参数
GET
/api/v1/monitor/events获取监控事件
type, severity, limit
GET
/api/v1/monitor/status获取监控状态
-
GET
/api/v1/monitor/metrics获取监控指标
metric, timerange
WebSocket
/ws/events实时事件流
-
修复接口
方法
路径
描述
参数
GET
/api/v1/remediation/suggestions获取修复建议
scan_id
POST
/api/v1/remediation/apply应用修复
suggestion_id, auto_commit
GET
/api/v1/remediation/history获取修复历史
page, limit
可视化接口
方法
路径
描述
参数
GET
/api/v1/visualization/attack-graph获取攻击图数据
scan_id
GET
/api/v1/visualization/risk-matrix获取风险矩阵
timerange
GET
/api/v1/visualization/dashboard获取仪表板数据
-
请求示例
启动IaC扫描
curl -X POST http://localhost:8080/api/v1/scan \
-H "Content-Type: application/json" \
-H "Authorization: Bearer YOUR_TOKEN" \
-d '{
"path": "/path/to/terraform",
"scan_type": "terraform",
"options": {
"deep_scan": true,
"include_tests": false
}
}'生成安全报告
curl -X POST http://localhost:8080/api/v1/reports/generate \
-H "Content-Type: application/json" \
-H "Authorization: Bearer YOUR_TOKEN" \
-d '{
"name": "月度安全报告",
"type": "security",
"format": "pdf",
"time_range": {
"start": "2024-01-01",
"end": "2024-01-31"
},
"scope": {
"include_scans": true,
"include_events": true,
"include_resources": true
}
}'获取云资源列表
curl -X GET "http://localhost:8080/api/v1/cloud/resources?provider=aws&type=ec2&page=1&limit=20" \
-H "Authorization: Bearer YOUR_TOKEN"响应格式
成功响应
{
"success": true,
"data": {
// 响应数据
},
"message": "操作成功",
"timestamp": "2024-01-15T10:30:00Z"
}错误响应
{
"success": false,
"error": {
"code": "INVALID_REQUEST",
"message": "请求参数无效",
"details": "scan_type字段是必需的"
},
"timestamp": "2024-01-15T10:30:00Z"
}WebSocket事件
连接实时事件流
const ws = new WebSocket('ws://localhost:8080/ws/events');
ws.onmessage = function(event) {
const data = JSON.parse(event.data);
console.log('收到事件:', data);
};
// 事件类型
// - scan_started: 扫描开始
// - scan_completed: 扫描完成
// - vulnerability_found: 发现漏洞
// - resource_updated: 资源更新
// - report_generated: 报告生成完成🛠️ 开发指南
项目结构详解
CloudBreach/
├── cmd/ # 命令行入口
│ ├── cloudbreach/ # 主程序入口
│ │ └── main.go # 应用启动入口
│ └── monitor/ # 监控程序入口
│ └── main.go # eBPF监控启动入口
├── internal/ # 内部模块 (不对外暴露)
│ ├── alert/ # 告警模块
│ │ ├── notification.go # 通知处理
│ │ └── rule_engine.go # 规则引擎
│ ├── alerting/ # 告警管理
│ │ ├── alert_manager.go # 告警管理器
│ │ ├── notification_manager.go # 通知管理器
│ │ └── rule_engine.go # 规则引擎实现
│ ├── cloud/ # 云资源管理 (新增)
│ │ └── cloud.go # 云资源服务实现
│ ├── config/ # 配置管理
│ │ └── config.go # 配置加载和解析
│ ├── ebpf/ # eBPF监控模块
│ │ ├── alert_manager.go # eBPF告警管理
│ │ ├── dashboard.go # 监控仪表板
│ │ ├── enhanced_monitor.go # 增强监控器
│ │ ├── event_processor.go # 事件处理器
│ │ ├── loader.go # eBPF程序加载器
│ │ ├── monitor.go # 核心监控逻辑
│ │ ├── notifiers.go # 通知器
│ │ └── program_manager.go # 程序管理器
│ ├── monitoring/ # 监控服务
│ │ ├── aggregator.go # 数据聚合器
│ │ ├── config.go # 监控配置
│ │ ├── monitoring_service.go # 监控服务实现
│ │ ├── search_engine.go # 搜索引擎
│ │ ├── threat_intelligence.go # 威胁情报
│ │ └── timeseries.go # 时序数据处理
│ ├── notification/ # 通知模块
│ │ └── notification.go # 通知服务实现
│ ├── remediation/ # 智能修复模块
│ │ └── engine.go # 修复引擎
│ ├── report/ # 报告生成 (新增)
│ │ └── report.go # 报告服务实现
│ ├── server/ # HTTP服务器
│ │ └── server.go # 服务器实现和路由
│ ├── settings/ # 设置管理
│ │ └── settings.go # 系统设置
│ ├── storage/ # 存储层
│ │ ├── elasticsearch.go # Elasticsearch客户端
│ │ ├── influxdb.go # InfluxDB客户端
│ │ └── timeseries.go # 时序数据存储
│ ├── user/ # 用户管理
│ │ └── user.go # 用户服务
│ └── websocket/ # WebSocket支持
│ └── hub.go # WebSocket集线器
├── pkg/ # 公共包 (可对外暴露)
│ └── logger/ # 日志组件
│ └── logger.go # 结构化日志实现
├── ebpf-monitor/ # eBPF监控程序
│ └── monitor.go # Go侧eBPF监控实现
├── ebpf-programs/ # eBPF内核程序
│ ├── Makefile # eBPF编译配置
│ ├── build/ # 编译输出目录
│ ├── include/ # 头文件
│ │ └── common.h # 公共头文件
│ └── src/ # eBPF源码
│ ├── container_escape.bpf.c # 容器逃逸检测
│ ├── file_access.bpf.c # 文件访问监控
│ ├── network_anomaly.bpf.c # 网络异常检测
│ ├── privilege_escalation.bpf.c # 权限提升检测
│ └── process_monitor.bpf.c # 进程监控
├── iac-scanner/ # IaC扫描模块
│ └── scanner.py # Python扫描器实现
├── remediation/ # 智能修复模块
│ └── auto_remediation.py # 自动修复实现
├── visualization/ # 可视化模块
│ └── attack_graph.py # 攻击图生成
├── cloud-integration/ # 云平台集成
│ └── multi_cloud.py # 多云平台支持
├── web/ # Web前端
│ ├── static/ # 静态资源
│ │ ├── css/ # 样式文件
│ │ └── js/ # JavaScript文件
│ └── templates/ # HTML模板
│ ├── dashboard.html # 主仪表板
│ ├── login.html # 登录页面
│ ├── register.html # 注册页面
│ ├── settings.html # 设置页面
│ └── ... # 其他页面模板
├── config/ # 配置文件
│ └── config.yaml # 主配置文件
├── k8s/ # Kubernetes部署配置
│ └── deployment.yaml # K8s部署清单
├── monitoring/ # 监控配置
│ ├── grafana/ # Grafana配置
│ │ ├── dashboards/ # 仪表板配置
│ │ └── datasources/ # 数据源配置
│ └── prometheus.yml # Prometheus配置
├── nginx/ # Nginx配置
│ └── nginx.conf # 反向代理配置
├── scripts/ # 脚本文件
│ ├── init-db.sql # 数据库初始化脚本
│ └── test_monitoring.sh # 监控测试脚本
├── tests/ # 测试文件
│ └── cloudbreach_test.go # 单元测试
├── docs/ # 文档
│ └── DEVELOPMENT.md # 开发文档
├── docker-compose.yml # Docker Compose配置
├── Dockerfile # Docker镜像构建
├── Makefile # 构建配置
├── go.mod # Go模块定义
├── go.sum # Go依赖校验
├── requirements.txt # Python依赖
└── README.md # 项目说明文档开发环境搭建
1. 开发工具推荐
# Go开发环境
go version # 确保Go 1.21+
# Python开发环境
python3 --version # 确保Python 3.9+
pip3 install virtualenv
# 代码编辑器推荐
# - VS Code + Go扩展
# - GoLand
# - Vim/Neovim + vim-go2. 依赖安装
# 安装Go依赖
make install-deps
# 或手动安装
go mod download
go install github.com/golangci/golangci-lint/cmd/golangci-lint@latest
# 安装Python依赖
python3 -m venv venv
source venv/bin/activate
pip install -r requirements.txt
# 安装eBPF开发工具
sudo apt-get install -y \
clang \
llvm \
libbpf-dev \
linux-headers-$(uname -r) \
bpftool3. 开发配置
# 配置Git钩子
cp scripts/pre-commit .git/hooks/
chmod +x .git/hooks/pre-commit
# 配置环境变量
cp .env.example .env
source .env编码规范
Go代码规范
// 包注释示例
// Package cloud 提供云资源管理功能
// 支持AWS、Azure、GCP等多云平台的统一管理
package cloud
import (
"context"
"fmt"
"time"
)
// CloudResource 云资源结构体
// 遵循Go命名约定,导出字段首字母大写
type CloudResource struct {
ID string `json:"id" db:"id"`
Name string `json:"name" db:"name"`
Type string `json:"type" db:"type"`
Provider string `json:"provider" db:"provider"`
Region string `json:"region" db:"region"`
Status string `json:"status" db:"status"`
CreatedAt time.Time `json:"created_at" db:"created_at"`
UpdatedAt time.Time `json:"updated_at" db:"updated_at"`
}
// GetResource 获取云资源
// 函数注释说明参数、返回值和可能的错误
func (s *CloudService) GetResource(ctx context.Context, id string) (*CloudResource, error) {
if id == "" {
return nil, fmt.Errorf("resource id cannot be empty")
}
// 实现逻辑...
return nil, nil
}Python代码规范
"""
云平台集成模块
提供多云平台的统一接口,支持资源发现、安全扫描等功能。
"""
from typing import Dict, List, Optional
from dataclasses import dataclass
from abc import ABC, abstractmethod
@dataclass
class CloudResource:
"""云资源数据类"""
id: str
name: str
type: str
provider: str
region: str
status: str
class CloudProvider(ABC):
"""云服务提供商抽象基类"""
@abstractmethod
def list_resources(self, resource_type: str) -> List[CloudResource]:
"""列出指定类型的资源"""
pass
@abstractmethod
def scan_resource(self, resource_id: str) -> Dict:
"""扫描指定资源的安全配置"""
pass
class AWSProvider(CloudProvider):
"""AWS云服务提供商实现"""
def __init__(self, access_key: str, secret_key: str, region: str):
self.access_key = access_key
self.secret_key = secret_key
self.region = region
def list_resources(self, resource_type: str) -> List[CloudResource]:
"""实现AWS资源列表获取"""
# 实现逻辑...
return []前端代码规范
/**
* 云资源管理模块
* 提供云资源的增删改查和可视化功能
*/
class CloudResourceManager {
constructor(apiClient) {
this.apiClient = apiClient;
this.resources = [];
this.currentProvider = 'aws';
}
/**
* 加载云资源列表
* @param {string} provider - 云服务提供商
* @param {Object} filters - 过滤条件
* @returns {Promise<Array>} 资源列表
*/
async loadResources(provider = 'aws', filters = {}) {
try {
const response = await this.apiClient.get('/api/v1/cloud/resources', {
params: { provider, ...filters }
});
this.resources = response.data.resources;
this.updateResourceDisplay();
return this.resources;
} catch (error) {
console.error('加载云资源失败:', error);
throw error;
}
}
/**
* 更新资源显示
* @private
*/
updateResourceDisplay() {
const container = document.getElementById('cloud-resources-container');
if (!container) return;
container.innerHTML = this.resources.map(resource => `
<div class="resource-card" data-resource-id="${resource.id}">
<h5>${resource.name}</h5>
<p>类型: ${resource.type}</p>
<p>状态: <span class="status-${resource.status.toLowerCase()}">${resource.status}</span></p>
<div class="resource-actions">
<button class="btn btn-sm btn-primary" onclick="viewResource('${resource.id}')">查看</button>
<button class="btn btn-sm btn-warning" onclick="scanResource('${resource.id}')">扫描</button>
<button class="btn btn-sm btn-danger" onclick="deleteResource('${resource.id}')">删除</button>
</div>
</div>
`).join('');
}
}
// 使用ES6模块导出
export default CloudResourceManager;测试策略
单元测试
// internal/cloud/cloud_test.go
package cloud
import (
"context"
"testing"
"github.com/stretchr/testify/assert"
"github.com/stretchr/testify/mock"
)
func TestCloudService_GetResource(t *testing.T) {
tests := []struct {
name string
resourceID string
expectError bool
expected *CloudResource
}{
{
name: "valid resource id",
resourceID: "res-123",
expectError: false,
expected: &CloudResource{
ID: "res-123",
Name: "test-resource",
Type: "ec2",
},
},
{
name: "empty resource id",
resourceID: "",
expectError: true,
expected: nil,
},
}
for _, tt := range tests {
t.Run(tt.name, func(t *testing.T) {
service := NewCloudService()
result, err := service.GetResource(context.Background(), tt.resourceID)
if tt.expectError {
assert.Error(t, err)
assert.Nil(t, result)
} else {
assert.NoError(t, err)
assert.Equal(t, tt.expected.ID, result.ID)
}
})
}
}集成测试
# 运行集成测试
make test-integration
# 或手动运行
go test -tags=integration ./tests/integration/...端到端测试
# 启动测试环境
docker-compose -f docker-compose.test.yml up -d
# 运行E2E测试
make test-e2e
# 清理测试环境
docker-compose -f docker-compose.test.yml down调试指南
本地调试
# 启用调试模式
export DEBUG=true
export LOG_LEVEL=debug
# 启动应用
go run cmd/cloudbreach/main.go server --debug
# 或使用调试器
dlv debug cmd/cloudbreach/main.go -- server --debug容器调试
# 进入容器
docker exec -it cloudbreach-app bash
# 查看日志
docker logs -f cloudbreach-app
# 查看eBPF程序状态
sudo bpftool prog list
sudo bpftool map list贡献指南
提交代码流程
Fork项目到个人仓库
创建功能分支: git checkout -b feature/new-feature
编写代码和测试
运行测试: make test
提交代码: git commit -m "feat: add new feature"
推送分支: git push origin feature/new-feature
创建Pull Request
提交信息规范
# 功能添加
git commit -m "feat: 添加云资源管理功能"
# 问题修复
git commit -m "fix: 修复eBPF监控内存泄漏问题"
# 文档更新
git commit -m "docs: 更新API文档"
# 性能优化
git commit -m "perf: 优化扫描引擎性能"
# 重构代码
git commit -m "refactor: 重构认证模块"📈 性能指标
测试环境
IaC模板 : 500+ 真实配置文件漏洞注入 : 20+ 已知CVE测试平台 : Kubernetes + AWS混合环境
关键指标
指标
数值
说明
检测精度 95.2%
真实漏洞检出率
误报率 < 3%
误报控制在可接受范围
CPU开销 < 5%
eBPF监控资源消耗
响应时间 < 2s
修复建议生成时间
并发处理 1000+
同时处理的扫描任务数
数据吞吐 10GB/h
日志数据处理能力
📚 相关文档
🔒 安全考虑
安全特性
身份认证 : JWT令牌 + 多因素认证(MFA)权限控制 : 基于RBAC的细粒度权限管理数据加密 : AES-256传输和存储加密审计日志 : 完整的操作审计追踪安全扫描 : 定期安全漏洞扫描和修复网络隔离 : 容器网络安全策略密钥管理 : 集成HashiCorp Vault
合规性
SOC 2 Type II : 安全控制合规ISO 27001 : 信息安全管理体系GDPR : 数据保护合规HIPAA : 医疗数据保护(可选)
🚀 路线图
v2.1 (计划中)
[ ] 机器学习威胁检测
[ ] 自动化渗透测试
[ ] 移动应用安全扫描
[ ] 区块链安全分析
v2.2 (规划中)
[ ] 零信任架构支持
[ ] 量子加密集成
[ ] AI驱动的修复建议
[ ] 多租户SaaS版本
