swain.
swain. 是 Descry 的开源、本地优先安全审查工具,可在发布前扫描发布风险面并指导您“先修复”问题——无需账户、无需配额、无需配置。
https://descry.app/?ref=producthunt&utm_source=aipure
产品信息
更新于:2026年06月01日
什么是 swain.
swain. 是 Descry 构建的一款开源应用 AI 信息安全工具,旨在使机器编写的代码“可读且可阻止”。它被设计为一键式本地安全审查工具,可帮助团队快速扫描代码库中常见的、高影响的发布风险,然后优先处理需要首先修复的问题。该项目强调本地、私有、确定性运行,旨在在发布前轻松集成到开发人员的工作流程中。
swain. 的主要功能
Swain 是 descry 推出的一款开源、本地优先的安全审查工具,旨在扫描代码库中的“发布风险点”——尤其是那些越来越多地由 AI 辅助编写的代码——确保机器编写的任何内容都不会被忽视。它以一键式工作流在本地确定性运行,生成可操作的发现和“优先修复”的视图。覆盖范围侧重于常见的、高影响力的 Web/应用程序安全领域,例如身份验证/会话处理、令牌/权限边界、秘密、上传、租户隔离/对象级授权以及常见的注入/XSS 类型。
一键式本地安全扫描: 快速运行安全审查(例如,演示模式),无需配额、无需配置、无需新账户——针对快速发布前检查进行了优化。
本地和确定性分析: 在本地执行并旨在获得可重复的结果,支持隐私敏感环境和可预测的 CI 风格工作流。
“优先修复”优先级: 突出显示优先级较高的发现,并直接指向受影响的文件/区域,以便团队可以首先修复最关键的问题。
核心 Web 安全风险区域覆盖: 针对常见的发布障碍,包括身份验证/会话/令牌/权限、计费/Webhook 信任、上传/路径处理、秘密、SQL 注入/参数化、XSS/不安全渲染以及租户/对象级授权。
开源信息安全工具 (Apache-2.0): 作为开源项目提供,用于检查、自托管和集成到内部安全实践中。
swain. 的使用场景
SaaS/Web 应用程序的发布前安全门: 在发布前扫描代码库,以捕获通常导致事件的身份验证、租户隔离、注入、XSS 和秘密问题。
AI 辅助开发风险控制: 使用代码生成工具的团队可以运行 Swain,通过及早发现安全漏洞,使机器编写的代码变得可读和可阻止。
面向工程团队的 CI 友好型安全检查: 在构建/发布工作流中,将确定性本地扫描作为可重复的步骤,以防止敏感区域(如会话和令牌)的回归。
金融科技计费和 Webhook 流程的安全审查: 将扫描应用于支付/计费集成,以识别 Webhook 和相关后端端点周围的信任边界问题。
多租户平台强化: 验证对象级授权和租户边界处理,以降低 B2B 平台中跨租户数据暴露的风险。
优点
本地优先且隐私友好(无需新账户、无需配额、演示工作流暗示无需配置)。
专注于高影响力的发布风险(身份验证、秘密、注入、XSS、租户隔离、上传、计费/Webhook)。
开源 (Apache-2.0),实现透明度和内部定制。
缺点
根据提供的来源,范围似乎集中在 Web/应用程序的“发布风险点”上,因此它可能无法涵盖所有安全领域(例如,完整的 SAST/DAST 广度)。
在提供的来源中,发现的有效性和深度没有经过独立基准测试。
如何使用 swain.
1) 在本地安装 swain: 从 descry 网站运行所示的安装程序命令:`curl -fsSL …/install.sh | sh`(使用网站上的确切 URL)。这将在您的机器上安装 `swain` CLI。
2) 验证 CLI 是否可用: 打开一个新的终端会话,并通过运行 `swain`(或 `swain --help`)来查看可用命令/选项,确认该命令存在。
3) 运行无配额演示扫描: 执行 `swain demo` 运行一个本地的、私有的演示,展示发现结果,无需账户、配置或配额。
4) 审查发现结果输出: 阅读 CLI 输出,其中列出了文件和发现结果(网站上显示的示例:发现结果映射到 `components/UserProfile.jsx`、`api/search.py`、`api/user.py` 等路径),以及严重性(例如,“中等”)。
5) 使用“先修复”来优先处理修复: 遵循工具的“先修复”指导(如网站上的 UI/流程所示),首先关注最高优先级的问题,从它突出显示的特定文件开始。
6) 更改后重新扫描: 在代码库中应用修复后,再次运行 swain(例如,重新运行 `swain demo` 或您选择的扫描命令)以确认发现结果已减少或解决。
7) 扩展您检查的覆盖区域: 使用 swain 审查官方页面上列出的风险面:身份验证(会话/令牌/权限)、账单/支付信任和 Webhook、上传(路径处理/租户边界)、秘密(硬编码/环境处理)、SQL 注入(参数化)、XSS(不安全渲染/innerHTML)以及租户对象级授权/隔离。
8) 使用开源仓库进行更深入的使用和集成: 打开官方页面上链接的 GitHub 仓库(Descry-Technologies/Swain),查找权威的 README、附加命令、配置选项以及在实际项目中运行 swain 的推荐工作流程。
swain. 常见问题
swain. 是 Descry 公司开发的一款开源安全审查工具,它能扫描代码中的“启动风险点”,并提供“优先修复”的指导。
与 swain. 类似的最新 AI 工具
Gait
Gait是一个集成了AI辅助代码生成和版本控制的协作工具,使团队能够高效地跟踪、理解和共享AI生成代码的上下文。
invoices.dev
invoices.dev 是一个自动化发票平台,直接从开发人员的 Git 提交生成发票,并具有与 GitHub、Slack、Linear 和 Google 服务的集成能力。
EasyRFP
EasyRFP 是一个 AI 驱动的边缘计算工具包,通过深度学习技术简化 RFP(请求提案)响应并实现实时田间表型。
Cart.ai
Cart.ai是一个AI驱动的服务平台,提供全面的业务自动化解决方案,包括编码、客户关系管理、视频编辑、电子商务设置和自定义AI开发,并提供24/7支持。
类似 swain. 的热门 AI 工具
GitHub Copilot Chat
GitHub Copilot Chat 是一个 AI 驱动的编码助手,提供自然语言交互、实时代码建议和直接在支持的 IDE 和 GitHub.com 中的上下文支持。
CopilotForXcode
CopilotForXcode是一个Xcode源代码编辑器扩展,它集成了GitHub Copilot、Codeium和ChatGPT,以在Xcode中提供AI驱动的代码建议、聊天协助和提示到代码功能。
BrowserAI
BrowserAI 是一个开源库,它支持直接在具有 WebGPU 加速的 Web 浏览器中运行本地大型语言模型 (LLM),提供以隐私为中心的 AI 功能,而无需服务器基础设施。
OpenAI Codex CLI
OpenAI Codex CLI是一个轻量级的开源编码代理,可在您的终端中运行,使开发人员能够将自然语言转换为代码执行,同时提供ChatGPT级别的推理能力,并能够运行代码、操作文件并在版本控制下迭代。