ghcr.io/intuitem/ciso-assistant-community/backend:v3.16.1...

热门搜索:

ghcr.iolinux/amd64v3.16.1-amd64大小: 未知更新于 2026年6月14日

让 AI 帮你使用轩辕镜像？ · 展开查看说明

如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具，协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题，请先让 AI 阅读并遵守轩辕镜像的规则文档。

只需在 AI 对话中先发送下面这句话即可：

请先完整阅读并严格遵守以下文档中的全部规则与要求：

https://xuanyuan.cloud/agents.md

在未充分阅读并理解该文档前，不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。

查看 agents.md 用法指南与完整示范。国内用户首推元宝 AI、DeepSeek 的深度思考模式，不推荐豆包 AI；Cursor 等编辑器可在对话 @ 该链接，或加入 User Rules。若 AI 无法访问外链，可打开说明文档复制全文粘贴。文档会随站点更新，复制内容可能过期，建议定期检查。

为项目点赞 🌟 以获取发布通知并帮助社区发展！

intuitem.com · SaaS 免费试用 · 路线图 · 文档 · 语言 · *** · 框架

CISO Assistant 为网络安全管理和 GRC（治理、风险与合规）实践提供了全新视角：

设计为中央枢纽，通过对象间的智能链接连接多个网络安全概念，
作为 多范式 工具构建，可适应不同背景、方法论和期望，
明确将合规性与网络安全控制解耦，实现跨平台复用，
倡导复用和互相关联，而非重复工作，
采用 API优先 方法开发，同时支持 UI 交互和外部 automation，
内置丰富的标准、安全控制和威胁库，
提供 开放格式，可自定义和复用您自己的对象与框架，
包含内置的 risk assessment 和 remediation tracking 工作流，
通过简单语法和灵活工具支持自定义框架，
提供跨多种渠道和格式（UI、CLI、Kafka、报告等）的丰富 导入/导出 功能。

我们的愿景是打造网络安全管理的 一站式平台——通过简化和 互操作性 实现 GRC 现代化。

作为与网络安全和 IT 专业人员合作的从业者，我们曾面临同样的问题：工具碎片化、数据重复，以及缺乏直观的集成解决方案。CISO Assistant 源于这些经验教训，我们正围绕务实、常识性 原则构建社区。

我们不断根据用户和客户的反馈进行改进。CISO Assistant 就像一只章鱼 🐙，不断长出新的触手——为网络安全团队带来清晰度、自动化和生产力，同时减少数据输入和输出的工作量。

快速开始 🚀

[!TIP] 最简单的入门方式是通过此处提供的云实例免费试用。

或者，在您的工作站或服务器上安装 Docker 和 Docker-compose 后：

克隆仓库：

git clone --single-branch -b main https://github.com/intuitem/ciso-assistant-community.git

并运行启动脚本

./docker-compose.sh # Linux/MacOS
./docker-compose.ps1 # Windows

如果您正在寻找其他自托管安装选项，请查看配置构建器和文档。

[!NOTE] docker-compose 脚本使用预构建的 Docker 镜像，支持大多数标准硬件架构。如果您使用 Windows，请确保已安装带 WSL2 的 Docker Desktop 并触发 PowerShell 脚本。它将代表您配置 Docker Desktop。

可以调整 docker compose 文件以传递额外参数以适应您的设置（例如邮件服务器设置）。

[!WARNING] 如果收到有关镜像平台与主机平台不匹配的警告或错误，请提交包含详细信息的 issue，我们将很快添加支持。您也可以改用 docker-compose-build.sh（见下文）为特定架构构建。

[!CAUTION] 不要将 main 分支代码直接用于生产环境，因为它是上游合并分支，在我们的开发过程中可能包含破坏性变更。请使用 tags 获取稳定版本或预构建镜像。

功能

即将推出的功能列在路线图上。

CISO Assistant 由 Intuitem 开发和维护，这是一家专注于网络安全、云以及数据/AI 的公司。

核心概念

以下是 CISO Assistant 中一些构建块的摘要，用于说明鼓励复用的解耦概念：

有关完整详情，请查看数据模型文档。

解耦概念

CISO Assistant 的核心是 解耦原则，它支持强大的用例并节省大量时间：

跨范围或框架复用过去的评估，
同时针对多个框架评估单个范围，
让 CISO Assistant 处理报告和一致性检查，以便您可以专注于 remediation，
将控制实施与合规跟踪分离。

以下是解耦原则及其优势的说明：

系统架构

最终用户文档

请查看在线文档。

设置本地 AI 引擎

更多信息：AI 引擎

支持的框架 🐙

ISO 27001:2013 & 27001:2022 🌐
NIST网络安全框架（CSF）v1.1 🇺🇸
NIST网络安全框架（CSF）v2.0 🇺🇸
NIS2 🇪🇺
SOC2 🇺🇸
PCI DSS 4.0.1 💳
CMMC v2 🇺🇸
PSPF 🇦🇺
通用数据保护条例（GDPR）：GDPR.EU提供的全文和清单 🇪🇺
关键八项 🇦🇺
NYDFS 500（含2023-11修订版） 🇺🇸
DORA（法案、技术标准、实施技术标准及指南） 🇪🇺
NIST AI风险管理框架 🇺🇸🤖
NIST SP 800-53 rev5 🇺🇸
Règles OIV - 部门«国家民事活动»（2019） 🇫🇷
CCB网络安全基础框架 🇧🇪
NIST SP-800-66（HIPAA） 🏥
HDS/HDH 🇫🇷
OWASP应用安全验证标准（ASVS）4 🐝🖥️
RGS v2.0 🇫🇷
AirCyber ✈️🌐
网络弹性法案（CRA） 🇪🇺
TIBER-EU 🇪🇺
NIST隐私框架 🇺🇸
TISAX（VDA ISA）v5.1和v6.0 🚘
ANSSI安全指南 🇫🇷
基本网络安全控制（ECC） 🇸🇦
CIS Controls v8* 🌐
CSA云控制矩阵（CCM）* ☁️
联邦数据保护法（FADP） 🇨🇭
NIST SP 800-171 rev2（2021） 🇺🇸
ANSSI：生成式AI系统安全建议 🇫🇷🤖
NIST SP 800-218：安全软件开发框架（SSDF） 🖥️
GSA FedRAMP rev5 ☁️🇺🇸
法国网络合规框架（3CF）v1（2021） ✈️🇫🇷
ANSSI：SecNumCloud ☁️🇫🇷
法国网络合规框架（3CF）v2（2024） ✈️🇫🇷
ANSSI：网络危机管理自我评估工具 💥🇫🇷
BSI：IT-Grundschutz-Kompendium 🇩🇪
NIST SP 800-171 rev3（2024） 🇺🇸
ENISA：5G安全控制矩阵 🇪🇺
OWASP移动应用安全验证标准（MASVS） 🐝📱
敏捷安全框架（ASF）- 基线 - 由intuitem提供 🤗
ISO 27001:2013 🌐（用于遗留系统和迁移）
欧盟AI法案 🇪🇺🤖
FBI CJIS 🇺🇸👮
运营技术网络安全控制（OTCC） 🇸🇦
安全控制框架（SCF） 🇺🇸🌐
NCSC - 网络评估框架（CAF）v3.2 🇬🇧
加州消费者隐私法（CCPA） 🇺🇸
加州消费者隐私*** 🇺🇸
NCSC网络基本要素 🇬🇧
摩洛哥国家信息系统安全指令（DNSSI） 🇲🇦
Part-IS ✈️🇪🇺
ENS国家安全框架 🇪🇸
韩国ISA ISMS-P 🇰🇷
瑞士ICT最低标准 🇨🇭
Adobe通用控制框架（CCF）v5 🌐
BSI云计算合规标准目录（C5） 🇩🇪
突尼斯ANCS信息系统安全审计框架 🇹🇳
ECB***市场基础设施网络弹性监督期望 🇪🇺
Mindeststandard-des-BSI-zur-Nutzung-externer-Cloud-Dienste（版本2.1） 🇩🇪
成熟度评估表 - 基础级（DGA） 🇫🇷
NIS2技术和方法要求2024/2690 🇪🇺
沙特阿拉伯货币管理局（SAMA）网络安全框架 🇸🇦
数据安全指南（CNIL） 🇫🇷
国际***贸易条例（ITAR） 🇺🇸
联邦贸易委员会（FTC）客户信息保护标准 🇺🇸
OWASP LLM治理与安全清单 🌐
ANSSI：敏感或限制传播信息系统架构建议 🇫🇷
CIS Kubernetes v1.10基准 🌐
De tekniske minimumskrav for statslige myndigheder 🇩🇰
Google SAIF框架 🤖
ANSSI：信息系统安全管理建议 🇫🇷
审慎标准CPS 230 - 运营风险管理（APRA） 🇦🇺
审慎标准CPS 234 - 信息安全（APRA） 🇦🇺
车辆网络安全审计（VCSA）v1.1 🚘
Cisco云控制框架（CCF）v3.0 ☁️🌐
FINMA - 通函2023/01 - 运营风险与弹性 - 银行 🇨🇭
后量子密码学（PQC）迁移路线图（2025年5月） 🔐
云主权框架 - 1.2.1 - 2025年10月 🇪🇺
ISO 22301:2019概要 - 业务连续性管理体系 🌐
CCB网络安全基础框架2025 🇧🇪
安全事件检测服务提供商（PDIS）- 要求框架 🇫🇷
供应商尽职调查 - 简易基线 - intuitem 🌐
Active Directory（AD）控制点 - ANSSI 🇫🇷
ISO 42001:2023概要 - 人工智能管理体系（含附录A） 🤖🌐
印度数字个人数据保护法（DPDPA）- 2023 🇮🇳
E-ITS（爱沙尼亚国家网络安全标准）- 2024 🇪🇪
Microsoft云安全基准v1 - ☁️🌐
***信息安全基线2（BIO2） 🇳🇱
ANSSI：MonAideCyber问卷 🇫🇷
ITSP.10.171 - 在非加拿大***系统和组织中保护特定信息 🇨🇦
CISA供应商供应链风险管理（SCRM）模板 🇺🇸
欧洲可持续发展报告标准（ESRS） 🇪🇺
ITIL 4管理实践 🌐
NOREA - DORA控制框架v3.0 🇪🇺
NIS-1法国转化版 🇫🇷
PSSI État 🇫🇷
认证文件清单 🇫🇷
EBIOS RM v3.1标签规范 🇫🇷
SecNumCloud v3.2附录2：客户建议 ☁️🇫🇷
CCB网络安全基础小型版 - 自我评估 🇧🇪
Mitre ATT&CK v18.1 - 威胁目录 🌐
Mitre D3FEND - 参考控制措施 🌐
OWASP Top 10 Web - 威胁目录 🐝🌐
OWASP MAS威胁建模指南 - 威胁目录 🐝📱
CISA网络安全绩效目标（CPG）v2.0 🇺🇸
ANSSI：法国NIS2***网络框架（ReCyF） 🇫🇷
法国网络合规框架（3CF）v3.1（2026） ✈️🇫🇷
Règles OIV - 部门«航空运输»（2016） ✈️🇫🇷
IEC 62443系列 — 第2-1、2-4、3-2、3-3、4-1、4-2部分 🏭🌐
CER指令（关键实体弹性） 🇪🇺
EUDI ARF — 欧盟数字身份***高级要求（附录2.02） 🇪🇺
UK Defence Standard 05-138 Issue 4 🇬🇧
HAS框架 - 机构质量认证 🇫🇷🏥
个人数据保护法（PDPL） 🇸🇦
NCSC - 网络评估框架（CAF）v4.0 🇬🇧
Algemene Beveiligingseisen voor Rijksoverheidsopdrachten（ABRO）2026 🇳🇱

本地测试 🚀

要以简单方式在本地运行 CISO Assistant，您可以使用 Docker Compose。

更新 Docker

确保您拥有较新版本的 Docker（>= 27.0）。

克隆仓库

git clone --single-branch -b main https://github.com/intuitem/ciso-assistant-community.git
cd ciso-assistant-community

启动用于预构建镜像的 docker-compose 脚本：

./docker-compose.sh # Linux/MacOS
./docker-compose.ps1 # Windows

或者，您可以使用此变体为特定架构构建 Docker 镜像：

./docker-compose-build.sh # Linux/MacOS
./docker-compose-build.ps1 # Windows

当系统提示时，输入超级用户的电子邮件和密码。

然后您可以通过 Web 浏览器访问 CISO Assistant，地址为 https://localhost:8443/

后续执行时，直接使用 docker compose up。

运行后端

克隆仓库。

git clone git@github.com:intuitem/ciso-assistant-community.git
cd ciso-assistant-community

在父文件夹中创建一个文件（例如 ../myvars），通过复制并修改以下代码将环境变量存储在其中，并将 " " 替换为您的私有值。注意不要将此文件提交到您的git仓库中。

必填变量

后端的所有变量都有便捷的默认值。

推荐变量

export DJANGO_DEBUG=True

# 默认URL设置为 http://localhost:5173，但您可以更改它，例如使用caddy代理启用https
export CISO_ASSISTANT_URL=https://localhost:8443

# 例如使用Mailhog设置开发邮件服务器
export EMAIL_HOST_USER=''
export EMAIL_HOST_PASSWORD=''
export DEFAULT_FROM_EMAIL=ciso-assistant@ciso-assistantcloud.com
export EMAIL_HOST=localhost
export EMAIL_PORT=1025
export EMAIL_USE_TLS=True # true表示使用STARTTLS
export EMAIL_USE_SSL=False # true表示使用SMTPS

其他变量

# CISO Assistant 默认使用SQLite，但您可以通过声明以下变量来设置PostgreSQL
export POSTGRES_NAME=ciso-assistant
export POSTGRES_USER=ciso-assistantuser
export POSTGRES_PASSWORD=
export POSTGRES_PASSWORD_FILE= # 指定密码的另一种方式
export DB_HOST=localhost
export DB_PORT=5432 # 可选，默认值为5432

# CISO Assistant 默认使用文件系统存储后端。
# 一次只能激活一个云存储后端（USE_S3和USE_AZURE互斥）。

# --- AWS S3 ---
# 您可以通过声明以下变量使用S3存储桶
# 启动CISO Assistant前必须创建S3存储桶
export USE_S3=True
export AWS_STORAGE_BUCKET_NAME=
export AWS_S3_REGION_NAME= # 可选，例如 us-east-1

# S3 身份验证选项1：访问密钥（适用于独立部署或S3兼容服务）
export AWS_ACCESS_KEY_ID=
export AWS_SECRET_ACCESS_KEY=
export AWS_S3_ENDPOINT_URL= # S3兼容服务（如MinIO）必填

# S3 身份验证选项2：IRSA（适用于Kubernetes/EKS部署）
# 在启用IAM Roles for Service Accounts (IRSA)的EKS上运行时，
# 这些环境变量由pod的服务账户自动注入。
# 无需显式配置——只需确保设置USE_S3=True和AWS_STORAGE_BUCKET_NAME。
# export AWS_WEB_IDENTITY_TOKEN_FILE=/var/run/secrets/eks.amazonaws.com/serviceaccount/token
# export AWS_ROLE_ARN=arn:aws:iam::123456789012:role/ciso-assistant-s3-role

# --- Azure Blob Storage ---
# 您可以使用Azure Blob Storage容器代替S3。
# 启动CISO Assistant前必须创建容器。
# export USE_AZURE=True
# export AZURE_CONTAINER= # 默认值：ciso-assistant-container
# export AZURE_CUSTOM_DOMAIN= # 可选，例如 cdn.example.com
# export AZURE_LOCATION= # 可选，容器内的路径前缀（例如 "media"）

# Azure 身份验证选项1：账户密钥
# export AZURE_ACCOUNT_NAME=
# export AZURE_ACCOUNT_KEY=

# Azure 身份验证选项2：连接字符串
# export AZURE_CONNECTION_STRING=

# Azure 身份验证选项3：托管身份（适用于Azure托管部署）
# 需要AZURE_ACCOUNT_NAME。自动使用pod/VM分配的托管身份。
# export AZURE_ACCOUNT_NAME=
# export AZURE_USE_MANAGED_IDENTITY=True

# 添加第二个备份邮件服务器（即将弃用，不再推荐）
export EMAIL_HOST_RESCUE=
export EMAIL_PORT_RESCUE=587
export EMAIL_HOST_USER_RESCUE=
export EMAIL_HOST_PASSWORD_RESCUE=
export EMAIL_USE_TLS_RESCUE=True
export EMAIL_USE_SSL_RESCUE=False

# 您可以定义第一个超级用户的邮箱，便于自动化。系统会向超级用户发送密码初始化邮件
export CISO_SUPERUSER_EMAIL=

# 默认情况下，Django密钥在CISO Assistant每次启动时随机生成。这便于快速测试，
# 但不推荐用于生产环境，因为可能会破坏会话（更多信息参见
# 此[主题](https://stackoverflow.com/questions/15170637/effects-of-changing-djangos-secret-key)）。
# 要设置固定密钥，请使用环境变量DJANGO_SECRET_KEY。
export DJANGO_SECRET_KEY=...

# 用于运行不受信任代码的沙箱模式（例如库Excel文件）
# WARNING: 生产环境必须启用沙箱。
export ENABLE_SANDBOX=True # 可选，生产环境（DJANGO_DEBUG=False）默认值为True，开发环境（DJANGO_DEBUG=True）默认值为False。

[!NOTE]

已知问题

Windows上的libmagic库（MIME检测）在读取Excel文件（.xlsx）的前2048位时难以识别，在导入Excel库时通常返回application/octet-stream（后端会显示警告消息[warning ] Invalid MIME type）。由于backend/library/views.py:StoredLibraryViewSet.upload_library中的回退方法，这不会阻止Excel文件的导入。

推荐：安装 pre-commit 钩子。

pre-commit install

如需设置 Postgres：

运行以下命令之一进入 Postgres：
psql as superadmin
sudo su postgres
psql
创建数据库 "ciso-assistant"
create database ciso-assistant;
创建用户 "ciso-assistantuser" 并授予访问权限
create user ciso-assistantuser with password ' ';
grant all privileges on database ciso-assistant to ciso-assistantuser;

[!NOTE] 前端无法自动推断主机，因此您需要设置 ORIGIN 变量，或者设置 HOST_HEADER 和 PROTOCOL_HEADER 变量。有关此复杂问题，请参见 SvelteKit 文档。请注意，此方法不适用于 "pnpm run dev"，这在生产环境中无需担心。

[!NOTE] Caddy 需要接收 SNI 头部。因此，对于您的公共 URL（在 CISO_ASSISTANT_URL 中声明的 URL），您需要使用 FQDN（完全限定域名），而不是 IP 地址，因为如果主机是 IP 地址，浏览器不会传输 SNI。这又是一个复杂问题！

[!NOTE] docker-compose 模板文件现在以非 root 模式启动后端、huey 和前端。如果您使用旧的 docker-compose.yml 文件，建议进行更新。容器同时兼容 root 和非 root 模式。

非 root Docker 容器

docker-compose.yml 现在依赖镜像中已有的非 root 用户 1001:1001。旧部署使用 root 用户，该模式仍受支持。要迁移到非 root 模式，请在主机中执行以下步骤：

docker compose down
更新 docker-compose.yml 文件
sudo chown -R 1001:1001 db
docker compose up -d

支持的语言 🌐

参考文件为 en.json；覆盖率 = 每个区域文件中存在的参考键的占比。每日自动刷新 — 完整明细请参见 https://intuitem.github.io/metrics/i18n/%E3%80%82

贡献者 🤝

技术栈 💜

Django - Python Web 开发框架
SvelteKit - 前端框架
eCharts - 图表库
unovis - 辅助图表库
Gunicorn - UNIX 环境下的 Python WSGI HTTP 服务器
Caddy - 最出色的反向代理
Gitbook - 文档平台
PostgreSQL - 开源关系型数据库管理系统
SQLite - 开源关系型数据库管理系统
Docker - 容器引擎
inlang - 软件全球化生态系统
Huey - 轻量级任务队列

安全性

我们已尽力遵循安全最佳实践。如发现任何问题，请报告至。

许可协议

本仓库包含 CISO Assistant 开源版本（社区版）的源代码，该版本基于 AGPL v3 许可发布；同时包含 CISO Assistant 商业版本（专业版和企业版）的源代码，该版本基于 intuitem 商业软件许可发布。采用此单体仓库方案是为了简化管理。

顶层 "enterprise" 目录中的所有文件均基于 intuitem 商业软件许可发布。

顶层 "enterprise" 目录之外的所有文件均基于 AGPLv3 许可发布。

详情参见 LICENSE.md。有关商业版本的更多信息，可通过与我们联系。

除非另有说明，所有文件均 © intuitem。

活动

轩辕镜像配置手册

按平台快速找到配置文档

Docker

登录仓库拉取

登录认证 · 私有仓库

专属域名拉取

免登录 · 高速拉取

Linux

Docker 镜像配置

Windows / Mac

Docker Desktop 配置

MacOS OrbStack

OrbStack 容器

Docker Compose

Compose 项目配置

NAS

群晖

Synology 配置

飞牛

fnOS 镜像配置

绿联

绿联 NAS

威联通

QNAP 配置

极空间

极空间 NAS

企业仓库

其他仓库

ghcr · Quay · nvcr

Harbor 镜像源

Proxy Repository 对接

Portainer 镜像源

Registries 配置

Nexus 镜像源

Docker Proxy 缓存

开发工具

Dev Containers

VS Code 开发容器

Podman

Podman 配置指南

Singularity / Apptainer

HPC 科学计算容器

Kubernetes

K8s Containerd

Kubernetes · Containerd

K3s

轻量级集群

面板 / 网络

爱快路由

iKuai 镜像加速

宝塔面板

一键配置镜像源

AI

用 AI 使用轩辕镜像

agents.md · AI 对话 · 提示词

一键安装

一键安装 Docker

Linux Docker 一键安装

需要其他帮助？请查看我们的常见问题 Docker 镜像访问常见问题解答或提交工单

镜像拉取常见问题

功能

免费版与专业版区别

功能对比 · 版本选择

支持的镜像仓库

Docker Hub · GCR · GHCR

新手拉取配置

docker search 限制

专属域名 · Hub 搜索

不支持 push

仅支持 pull · 不支持

拉取速度原因

带宽 · 缓存 · 冷热镜像

错误码

402 与流量用尽

402 · 流量包 · 充值

401 认证失败

401 · docker login

manifest unknown

标签错误 · 镜像不存在

410 Gone 排查

410 · Docker 升级

429 限流

免费版 · 请求频率

其他报错

DNS 超时

DNS 解析 · 网络超时

TLS 证书失败

no matching manifest（架构）

账号

失败是否计费

manifest · blob · 计费

申请开发票（企业 / 个人）

企业 · 个人 · 工单

修改登录密码

网站 · 仓库 · 重置

注销账户

工单 · 数据 · 注销

原理

mirrors 不生效

daemon.json · 重启

去掉域名前缀

docker tag · 重命名

指定架构拉取

ARM64 · AMD64 · 多架构

latest 与「最新」

digest · 版本号 · 标签

查看全部问题→

用户好评

来自真实用户的反馈，见证轩辕镜像的优质服务

oldzhang

运维工程师

Linux服务器

"Docker访问体验非常流畅，大镜像也能快速完成下载。"