CRML
CRML 是一種開放、宣告式、與實作無關的語言,用於表達網路風險模型,使組織能夠透過程式碼標準化、驗證和自動化其風險評估流程。
https://github.com/Faux16/crml?ref=producthunt&utm_source=aipure
產品資訊
更新時間:2026年02月10日
什麼是 CRML
CRML(網路風險建模語言)是一種專門的語言,旨在解決網路安全風險管理中的挑戰。它提供了一種 YAML/JSON 格式,用於描述網路風險模型、遙測對應、模擬管道、依賴關係和輸出要求,而不會強迫使用者使用特定的量化方法、模擬引擎或安全控制框架。CRML 由 Zeron Research Labs 和 CyberSec Consulting LLC 開發和維護,可實現\"風險即代碼\" (RaC),其中風險和合規性假設成為版本化、可審查的工件,可以在團隊和工具之間一致地驗證和執行。
CRML 的主要功能
CRML(網絡風險建模語言)是一種開源的聲明式語言,旨在表達和標準化網絡風險模型。它提供了一種 YAML/JSON 格式,用於描述風險模型、遙測映射、模擬管道、依賴關係和輸出要求,而無需與特定的量化方法或安全框架相關聯。該語言支持風險即代碼 (RaC),使風險和合規性假設成為版本化、可審查的工件,可以在不同的團隊和工具中一致地驗證和執行。
控制有效性建模: 允許量化安全控制如何降低風險,包括縱深防禦情境和有效性參數
框架無關整合: 支持多種安全框架(ATT&CK、CIS、NIST、ISO、SCF),具有靈活的映射功能和版本控制
多幣種支持: 支持跨不同貨幣進行建模,並具有自動轉換功能
驗證和可重現性: 提供嚴格的 JSON Schema 驗證,並確保模型可以在不同的工具和團隊中重現
CRML 的使用案例
安全投資分析: 通過對比在有和沒有特定安全控制或投資的情況下建模風險情境,來比較和證明安全支出的合理性
法規遵從: 創建可供審計的文檔和風險計算證據,以滿足法規要求和合規性報告
企業風險管理: 標準化不同業務部門的風險評估,並將網絡風險與企業風險規劃相結合
保險和財務規劃: 對潛在的網絡風險及其對保險覆蓋決策和財務規劃的財務影響進行建模
優點
與實施無關的設計允許在選擇模擬引擎時具有靈活性
人類可讀的 YAML 格式使其易於審查和審計
標準化的方法可以在整個組織中實現一致的風險建模
缺點
項目仍在大量開發中,可能會在沒有通知的情況下更改
需要技術專業知識來實施和維護
僅限於具有成熟風險管理實踐的組織
如何使用 CRML
安裝 CRML 套件: 使用 \'pip install crml-engine\' 安裝完整的 CLI 套件,或僅使用 \'pip install crml-lang\' 安裝語言庫。對於 SCF 支援,請使用 \'pip install \"crml-lang[scf]\"\'
建立 CRML YAML 模型檔案: 建立一個 YAML 檔案,使用 crml_scenario 版本、元資訊和場景詳細資訊(包括頻率和嚴重性參數)等必填欄位定義您的網路風險模型
驗證 CRML 檔案: 使用 CLI 命令 \'crml-lang validate <your-file.yaml>\' 或 Python 代碼 \'from crml_lang import validate; report = validate(\"your-file.yaml\", source_kind=\"path\")\' 驗證您的 YAML 模型
執行模擬: 使用 CLI 執行模擬,命令為 \'crml simulate <your-file.yaml> --runs 10000\' 或 Python 代碼 \'from crml_engine.runtime import run_simulation; result = run_simulation(\"your-file.yaml\", n_runs=10000)\'
使用 CRML Studio(可選): 對於視覺介面:1) 使用 \'pip install crml-engine\' 安裝,2) 導航到 web/ 目錄,3) 執行 \'npm install\', 4) 使用 \'npm run dev\' 啟動,5) 開啟 http://localhost:3000
匯入外部框架(可選): 使用 CLI 命令 \'crml-lang scf-import-catalog path/to/SCF_file.xlsx output-catalog.yaml\' 匯入 SCF 等安全框架
審查和迭代: 檢查模擬結果,驗證輸出,並根據需要改進模型參數。使用版本控制來追蹤對 CRML 檔案的變更
CRML 常見問題
CRML(網路風險建模語言)是一種開放、宣告式、引擎無關的語言,用於表達網路風險模型、遙測映射、模擬管道、依賴關係和輸出要求。它提供了一種 YAML/JSON 格式,用於描述網路風險模型,而無需強制使用特定的量化方法或安全框架。
与 CRML 类似的最新 AI 工具
Gait
Gait 是一個集成 AI 辅助代碼生成和版本控制的協作工具,使團隊能夠高效地追蹤、理解和共享 AI 生成代碼的上下文。
invoices.dev
invoices.dev 是一個自動化發票平台,直接從開發者的 Git 提交生成發票,並具有 GitHub、Slack、Linear 和 Google 服務的集成能力。
EasyRFP
EasyRFP 是一個 AI 驅動的邊緣計算工具包,通過深度學習技術簡化 RFP(請求提案)回應並實現實時田間表型。
Cart.ai
Cart.ai 是一個 AI 驅動的服務平台,提供全面的業務自動化解決方案,包括編碼、客戶關係管理、視頻編輯、電商設置和定制 AI 開發,並提供 24/7 支持。
类似 CRML 的热门 AI 工具
GitHub Copilot Chat
GitHub Copilot Chat 是一個 AI 驅動的編碼助手,提供自然語言交互、實時代碼建議和上下文支持,直接在支持的 IDE 和 GitHub.com 中提供。
CopilotForXcode
CopilotForXcode 是一個 Xcode 源代碼編輯器擴展,將 GitHub Copilot、Codeium 和 ChatGPT 集成在一起,在 Xcode 中提供 AI 驅動的代碼建議、聊天協助和 prompt-to-code 功能。
BrowserAI
BrowserAI 是一個開源函式庫,它支援直接在具有 WebGPU 加速的 Web 瀏覽器中運行本地大型語言模型 (LLM),提供以隱私為中心的 AI 功能,而無需伺服器基礎設施。
OpenAI Codex CLI
OpenAI Codex CLI 是一個輕量級、開源的程式碼編寫代理,可在您的終端中執行,使開發人員能夠將自然語言轉換為程式碼執行,同時提供 ChatGPT 等級的推理能力,並具有執行程式碼、操作檔案以及在版本控制下迭代的能力。