静态扫描工具第二讲-Horusec

简介: Horusec是一款极速开源SAST工具,18种语言一键扫描,3分钟出报告(较Semgrep提速10倍),深度检测漏洞与Git历史密钥泄露,支持CLI/CI/CD及自定义规则,简单高效、开箱即用。

上一篇讲的是Semgrep,功能很全面,但是速度有一丢丢的慢,所以就重新找了一个工具试试,Horusec,体验过Horusec,好像有点用不回Semgrep了,速度差的不是一点半点,一个天上一个地上,原来30分钟出结果,现在只需要3分钟,扫描的问题几乎一致,这你敢想吗?
同时部署在一台服务器上面,生成报告的速度按分钟级。

image.png

Horusec是一款开源工具,用于在开发过程中通过静态代码分析发现安全漏洞。目前支持分析的语言包括C#、Java、Kotlin、Python、Ruby、Golang、Terraform、Javascript、Typescript、Kubernetes、PHP、C、HTML、JSON、Dart、Elixir、Shell、Nginx。 该工具可以搜索项目所有文件以及Git历史中的密钥泄漏和安全问题。开发者可以通过CLI来使用Horusec,DevSecOps团队也可以将其集成到CI/CD流程中。

image.png

功能特点:

  • 同时集成20 款主流安全检测工具联动扫描,全面覆盖18 种开发编程语言代码深度解析,多引擎交叉校验大幅提升漏洞识别与风险判定准确率;
  • 深度遍历 Git 代码仓库全版本提交历史、分支记录与提交日志,智能检索密钥密码、接口令牌、账号凭证、隐私配置等敏感信息及各类泄露暴露内容;
  • 支持检测规则、扫描范围、过滤条件、输出模式全维度自定义配置,开放全部命令行 CLI 调用能力与接口资源,灵活适配本地终端、自动化流水线及服务器部署场景;
  • 支持导入编写自定义检测规则、正则匹配规则与专属风控策略,可按需新增行业专属漏洞特征、敏感关键词库,适配业务私有化合规检测与定制化安全审计需求。

使用方法:

安装Horusec

Mac 或 Linux

make install
或
curl -fsSL https://raw.githubusercontent.com/ZupIT/horusec/master/deployments/scripts/install.sh | bash -s latest

检查安装

  • horusec version

Windows

amd64
curl -k "https://github.com/ZupIT/horusec/releases/latest/download/horusec_win_amd64.exe" -o "./horusec.exe" -L
arm64
curl -k "https://github.com/ZupIT/horusec/releases/latest/download/horusec_win_arm64.exe" -o "./horusec.exe" -L

检查安装

./horusec.exe version

使用方式

horusec start -p .

非常简单,一行命令即可,如果集成到opencode中,直接对话即可。

Horusec支持多种输出格式:JSON、HTML、SARIF等,满足不同场景需求。

🎯为什么选择Horusec?

1.安装简单:无需繁杂配置,一个命令行即可使用。

2.功能全面: 支持多种20种不同的安全工具对18种语言进行分析。

3.可配置性高: 支持自定义规则和扫描策略。

4.速度快:扫描速度是分钟级,几乎几分钟搞定,输出多格式的报告。

5.持续更新:活跃的开发社区不断添加新功能和规则。

📊 Horusec 与 Semgrep:

速度:Horusec更快

准确率:Semgrep好一些

检测范围:都可自定义

多语言支持:相差不多,Semgrep更多一些

上手门槛:Horusec上手更快

使用场景:

Horusec:快速盲扫、CI 快速门禁、密钥泄露普查、全项目粗筛,适合小项目和要求不是很高的项目。

Horusec:代码规范校验、精准漏洞审计、企业自定义安全规则,可选pro付费更完善功能。适合完整项目或者大项目。

如果你还有什么疑问,可以打在评论区,我们一起探讨。

后面会持续输出ai相关内容,喜欢可以留个关注,让我们共同进步。

目录
相关文章
|
25天前
|
人工智能 数据可视化 定位技术
CodeGraph vs Understand-Anything:一个给 Agent 查代码地图,一个把项目变成可追问图谱
CodeGraph 与 Understand-Anything 同解“代码迷路”之困:前者是面向编程 Agent 的本地索引工具,专注快速查询调用链、影响范围与上下文;后者是面向人与团队的交互式项目图谱,提供可视化架构、业务域导览与系统理解。二者互补而非替代——一重执行精度,一重认知全局。(239字)
341 1
CodeGraph vs Understand-Anything:一个给 Agent 查代码地图,一个把项目变成可追问图谱
|
25天前
|
人工智能 安全 前端开发
ECC 讲透:Claude Code 的全能增强包,不只是 Agents 和 Skills
Everything Claude Code(ECC)是2026年爆火的AI编程增强框架,非简单提示词合集,而是集Agents、Skills、Rules、Hooks、MCP与AgentShield安全扫描于一体的“AI编程操作系统”,深度优化Claude Code等Agent Harness,已获近19万Star。(239字)
246 2
ECC 讲透:Claude Code 的全能增强包,不只是 Agents 和 Skills
|
25天前
|
人工智能 自然语言处理 调度
Matt Pocock 的 21个skill的仓库火了:本周的明星
mattpocock/skills 是一套面向AI编程代理的工程化技能库(当前稳定公开18个),将资深工程师的标准化工作流(需求建模→开发→工程管控→知识沉淀)转化为可按需加载、带资源依赖的模块化Skill,非普通Prompt,显著提升代码质量与协作效率。(239字)
305 0
|
25天前
|
人工智能 弹性计算 API
OpenClaw+阿里云百炼Token Plan 一站式部署与配置流程
OpenClaw作为一款开源可自托管的AI智能体执行框架,能让大模型从单纯对话升级为可执行文件处理、代码编写、流程自动化等任务的数字助手。在阿里云上部署OpenClaw并接入百炼Token Plan,可依托阿里云稳定的云服务与百炼的大模型能力,打造专属、高效、低成本的AI智能体服务。本文将从准备工作、阿里云服务器部署、百炼Token Plan开通与密钥获取、OpenClaw配置、功能验证到常见问题排查,提供完整实操流程,帮助用户快速完成部署与配置。
275 9
|
25天前
|
人工智能 自然语言处理 测试技术
让AI不再幻觉:如何用一副'马具'让自然语言测试成为现实
本文提出“Harness Engineering”新范式,通过CLI SDK封装API、构建AI可调用Skill体系,将自动化测试从硬编码升级为自然语言驱动。以Agent平台为例,实现“描述即执行”,显著提升编写效率、降低维护成本,适用于各类API系统。
|
25天前
|
人工智能 弹性计算 安全
阿里云百炼Token Plan与Coding Plan全维度对比与选型指南
阿里云百炼平台提供的两大订阅服务——**Token Plan**与**Coding Plan**,是面向不同用户群体设计的差异化方案。两者在定位、计费、场景、模型支持与使用限制上差异显著,直接影响使用体验与成本控制。本文基于2026年最新规则,从供应状态、计费逻辑、模型覆盖、场景适配、性能与管理能力等维度,系统拆解两大方案的核心区别,并给出清晰的选型建议,帮助用户精准匹配自身需求。
528 3
|
25天前
|
人工智能 程序员
游戏行业最好的 AI 编程大模型
15年游戏开发经验者打造的AI编程工具FreeUltraCode,深度适配虚幻引擎,支持UMG界面、3D模型、2D动画、音频等全类型游戏资产生成与管理,让大模型真正懂材质、蓝图、骨骼动画等游戏开发语义。
186 2
|
25天前
|
安全 Linux 应用服务中间件
阿里云轻量应用服务器从零搭建网站:全流程实战指南(附WordPress部署与安全加固)
本文系统阐述了如何利用阿里云轻量应用服务器快速完成网站搭建的全流程。从购买决策与套餐对比入手,涵盖服务器创建、远程连接、LNMP与LAMP环境搭建、WordPress部署、域名解析、SSL证书配置、安全组防火墙设置、以及数据备份与监控等关键环节。文章融合了应用镜像的快速搭建方案和系统镜像的自定义部署方案,提供了详细的命令行示例和配置文件,帮助读者避开常见陷阱,安全高效地完成网站上线与日常运维管理。
|
25天前
|
自然语言处理 Java API
【AgentScope Java新手村系列】(7)子Agent编排
子Agent编排 — SubagentDeclaration 描述子 agent,主 agent 通过 agent_spawn 工具同步/异步委派子任务。
273 0
|
25天前
|
缓存 中间件 Java
【AgentScope Java新手村系列】(6)Hook与Middleware
Hook与Middleware — 五类 Middleware 回调点(onModelCall/onActing等)替代 1.x Hook,实现日志埋点与限流。
226 0