swain.
swain. 是 Descry 的開源、本機優先安全審查工具,可在您發布之前掃描發布風險面並引導您「先修復」問題——無需帳戶、無需配額、無需配置。
https://descry.app/?ref=producthunt&utm_source=aipure
產品資訊
更新時間:2026年06月01日
什麼是 swain.
swain. 是 descry 推出的一款開源應用 AI 資訊安全工具,旨在使機器編寫的程式碼「可讀且可阻止」。它設計為一個單一命令的本機安全審查工具,可幫助團隊快速掃描程式碼庫中常見的高影響發布風險,然後優先處理首先需要補救的問題。該專案強調本機、私有、確定性運行,旨在在發布前輕鬆整合到開發人員的工作流程中。
swain. 的主要功能
Swain 是一個開源的、本地優先的安全審查工具,由 descry 設計,用於掃描程式碼庫中的「發布風險表面」——特別是那些越來越多地藉助 AI 協助編寫的程式碼——確保機器編寫的內容不會在未經審查的情況下通過。它以單一指令工作流程在本地確定性地運行,產生可操作的發現和「優先修復」的優先級視圖。覆蓋範圍側重於常見的高影響力網路/應用程式安全領域,例如身份驗證/會話處理、令牌/權限邊界、秘密、上傳、租戶隔離/物件級授權,以及常見的注入/XSS 類別。
單一指令本地安全掃描: 快速運行安全審查(例如,演示模式),無需配額、無需配置、無需新帳戶——針對快速發布前檢查進行了優化。
本地和確定性分析: 在本地執行並旨在產生可重複的結果,支持對隱私敏感的環境和可預測的 CI 式工作流程。
「優先修復」優先級: 突出顯示更高優先級的發現,並直接指向受影響的文件/區域,以便團隊可以首先修復最關鍵的問題。
核心網路安全風險領域的覆蓋: 針對常見的發布障礙,包括身份驗證/會話/令牌/權限、帳單/Webhook 信任、上傳/路徑處理、秘密、SQL 注入/參數化、XSS/不安全渲染以及租戶/物件級授權。
開源資訊安全工具 (Apache-2.0): 作為開源專案提供,用於檢查、自行託管和整合到內部安全實踐中。
swain. 的使用案例
SaaS/網路應用程式的發布前安全閘門: 在發布前掃描程式碼庫,以捕獲通常會導致事件的身份驗證、租戶隔離、注入、XSS 和秘密問題。
AI 輔助開發風險控制: 使用程式碼生成工具的團隊可以運行 Swain,通過及早發現安全漏洞,使機器編寫的程式碼變得可讀且可阻止。
適用於工程團隊的 CI 友好型安全檢查: 在建置/發布工作流程中,將確定性本地掃描作為可重複的步驟,以防止在會話和令牌等敏感區域出現回歸。
金融科技帳單和 Webhook 流程的安全審查: 對支付/帳單整合應用掃描,以識別 Webhook 和相關後端端點周圍的信任邊界問題。
多租戶平台強化: 驗證物件級授權和租戶邊界處理,以降低 B2B 平台中跨租戶數據暴露的風險。
優點
本地優先且對隱私友好(演示工作流程暗示無需新帳戶、無需配額、無需配置)。
專注於高影響力的發布風險(身份驗證、秘密、注入、XSS、租戶隔離、上傳、帳單/Webhook)。
開源 (Apache-2.0),實現透明度和內部定制。
缺點
根據提供的資料,範圍似乎集中在網路/應用程式的「發布風險表面」,因此它可能不涵蓋所有安全領域(例如,完整的 SAST/DAST 廣度)。
提供的資料中沒有獨立基準測試發現的有效性和深度。
如何使用 swain.
1) 在本機安裝 swain: 從 descry 網站運行所示的安裝程式命令:`curl -fsSL …/install.sh | sh`(使用網站上的確切 URL)。這會將 `swain` CLI 安裝到您的機器上。
2) 驗證 CLI 是否可用: 打開一個新的終端機會話,並通過運行 `swain`(或 `swain --help`)來確認命令是否存在,以查看可用的命令/選項。
3) 運行無配額演示掃描: 執行 `swain demo` 以運行一個本機、私有演示,該演示展示了發現結果,無需帳戶、配置或配額。
4) 審查發現結果輸出: 閱讀 CLI 輸出,其中列出了文件和發現結果(網站上顯示的範例:發現結果映射到 `components/UserProfile.jsx`、`api/search.py`、`api/user.py` 等路徑)以及嚴重性(例如,「中等」)。
5) 使用「先修復」來優先處理補救措施: 遵循工具的「先修復」指導(如網站上的 UI/流程所示),首先專注於最高優先級的問題,從它突出顯示的特定文件開始。
6) 更改後重新掃描: 在您的程式碼庫中應用修復程式後,再次運行 swain(例如,重新運行 `swain demo` 或您選擇的掃描命令)以確認發現結果已減少或已解決。
7) 擴展您檢查的覆蓋區域: 使用 swain 審查官方頁面上列出的風險面:身份驗證(會話/令牌/權限)、計費/支付信任和 Webhook、上傳(路徑處理/租戶邊界)、機密(硬編碼/環境處理)、SQL 注入(參數化)、XSS(不安全渲染/innerHTML)以及租戶物件級授權/隔離。
8) 使用開源儲存庫進行更深入的使用和整合: 打開官方頁面上連結的 GitHub 儲存庫 (Descry-Technologies/Swain),以查找權威的 README、其他命令、配置選項以及在實際專案上運行 swain 的推薦工作流程。
swain. 常見問題
swain. 是 Descry 推出的一款開源安全審查工具,它能掃描程式碼中的「發佈風險面」,並透過「優先修復」指引來突顯發現的問題。
与 swain. 类似的最新 AI 工具
Gait
Gait 是一個集成 AI 辅助代碼生成和版本控制的協作工具,使團隊能夠高效地追蹤、理解和共享 AI 生成代碼的上下文。
invoices.dev
invoices.dev 是一個自動化發票平台,直接從開發者的 Git 提交生成發票,並具有 GitHub、Slack、Linear 和 Google 服務的集成能力。
EasyRFP
EasyRFP 是一個 AI 驅動的邊緣計算工具包,通過深度學習技術簡化 RFP(請求提案)回應並實現實時田間表型。
Cart.ai
Cart.ai 是一個 AI 驅動的服務平台,提供全面的業務自動化解決方案,包括編碼、客戶關係管理、視頻編輯、電商設置和定制 AI 開發,並提供 24/7 支持。
类似 swain. 的热门 AI 工具
GitHub Copilot Chat
GitHub Copilot Chat 是一個 AI 驅動的編碼助手,提供自然語言交互、實時代碼建議和上下文支持,直接在支持的 IDE 和 GitHub.com 中提供。
CopilotForXcode
CopilotForXcode 是一個 Xcode 源代碼編輯器擴展,將 GitHub Copilot、Codeium 和 ChatGPT 集成在一起,在 Xcode 中提供 AI 驅動的代碼建議、聊天協助和 prompt-to-code 功能。
BrowserAI
BrowserAI 是一個開源函式庫,它支援直接在具有 WebGPU 加速的 Web 瀏覽器中運行本地大型語言模型 (LLM),提供以隱私為中心的 AI 功能,而無需伺服器基礎設施。
OpenAI Codex CLI
OpenAI Codex CLI 是一個輕量級、開源的程式碼編寫代理,可在您的終端中執行,使開發人員能夠將自然語言轉換為程式碼執行,同時提供 ChatGPT 等級的推理能力,並具有執行程式碼、操作檔案以及在版本控制下迭代的能力。