基本要求
项目名称
烛微 ZhuWei
项目地址
https://github.com/Xs1KVerOA/ZhuWei
项目简介
烛微 ZhuWei 是一套面向企业安全运营、产品安全团队和授权安全研究场景的本地化漏洞情报与产品风险研判平台。
项目将多源漏洞情报采集、告警研判、产品归属、POC/EXP 证据沉淀、源码证据管理、模型辅助分析和 Neo4j 图谱关系整合到一个可私有化部署的 Web 控制台中,帮助安全团队持续跟踪漏洞动态、评估产品影响面,并沉淀可复用的研判证据。
项目亮点
项目旨在解决漏洞情报运营和产品安全研判中的以下问题:
-
漏洞情报来源分散
支持 CISA KEV、NVD、GitHub Security Advisories、GitHub Security Lab、GobyVuls、Sploitus、CXSecurity、长亭 VulDB、OSCS、微步、Seebug、AVD、CNVD、启明星辰、Doonsec 微信 RSS 等多类数据源的统一采集和状态跟踪。
-
漏洞与产品影响关系难以沉淀
内置产品库、产品别名、厂商字典、产品合并和漏洞-产品关系对齐能力,便于企业持续维护自身关注产品的漏洞影响面。
-
POC/EXP 证据分散且可信度不一
支持对 CVE/GHSA 记录进行 GitHub 仓库与代码证据搜索,将疑似 POC/EXP 结果沉淀到分析视图,并结合本地规则给出可信度评分。
-
漏洞研判过程缺少结构化记录
支持标准分析、重新分析、红队增强分析、模型源切换、分析日志查看和用户反馈,方便安全团队复盘研判过程。
-
源码证据和漏洞分析割裂
支持上传源码包,后台异步分析源码架构、功能和产品归属;漏洞分析时可优先结合本地源码证据,对比告警版本和本地源码版本。
-
安全运营关系数据难以可视化
支持将产品、漏洞、告警、源码库等关系同步到 Neo4j,并在前端查看、缩放和筛选图谱关系,辅助风险研判和资产关联分析。
-
适合内网私有化部署
后端基于 Python/FastAPI,前端为原生 Web 控制台,支持 SQLite/PostgreSQL、Redis、MinIO、Neo4j 和 Docker Compose 部署,适合内网安全运营环境使用。
基本要求
项目名称
烛微 ZhuWei
项目地址
https://github.com/Xs1KVerOA/ZhuWei
项目简介
烛微 ZhuWei 是一套面向企业安全运营、产品安全团队和授权安全研究场景的本地化漏洞情报与产品风险研判平台。
项目将多源漏洞情报采集、告警研判、产品归属、POC/EXP 证据沉淀、源码证据管理、模型辅助分析和 Neo4j 图谱关系整合到一个可私有化部署的 Web 控制台中,帮助安全团队持续跟踪漏洞动态、评估产品影响面,并沉淀可复用的研判证据。
项目亮点
项目旨在解决漏洞情报运营和产品安全研判中的以下问题:
漏洞情报来源分散
支持 CISA KEV、NVD、GitHub Security Advisories、GitHub Security Lab、GobyVuls、Sploitus、CXSecurity、长亭 VulDB、OSCS、微步、Seebug、AVD、CNVD、启明星辰、Doonsec 微信 RSS 等多类数据源的统一采集和状态跟踪。
漏洞与产品影响关系难以沉淀
内置产品库、产品别名、厂商字典、产品合并和漏洞-产品关系对齐能力,便于企业持续维护自身关注产品的漏洞影响面。
POC/EXP 证据分散且可信度不一
支持对 CVE/GHSA 记录进行 GitHub 仓库与代码证据搜索,将疑似 POC/EXP 结果沉淀到分析视图,并结合本地规则给出可信度评分。
漏洞研判过程缺少结构化记录
支持标准分析、重新分析、红队增强分析、模型源切换、分析日志查看和用户反馈,方便安全团队复盘研判过程。
源码证据和漏洞分析割裂
支持上传源码包,后台异步分析源码架构、功能和产品归属;漏洞分析时可优先结合本地源码证据,对比告警版本和本地源码版本。
安全运营关系数据难以可视化
支持将产品、漏洞、告警、源码库等关系同步到 Neo4j,并在前端查看、缩放和筛选图谱关系,辅助风险研判和资产关联分析。
适合内网私有化部署
后端基于 Python/FastAPI,前端为原生 Web 控制台,支持 SQLite/PostgreSQL、Redis、MinIO、Neo4j 和 Docker Compose 部署,适合内网安全运营环境使用。