faradaysec/faraday

Faraday 开源漏洞管理工具

镜像概述和主要用途

Faraday是一款开源漏洞管理工具，旨在帮助安全团队更高效地管理漏洞生命周期。它允许团队集中收集、规范化漏洞数据，通过多种可视化方式呈现信息，支持多用户协作，并集成80多种安全扫描工具，实现自动化漏洞探测与管理，从而专注于漏洞发现而非繁琐的结果整理。

!https://raw.githubusercontent.com/infobyte/faraday/master/docs/images/faraday_logo.svg !https://raw.githubusercontent.com/infobyte/faraday/master/docs/images/manage.png !https://raw.githubusercontent.com/infobyte/faraday/master/docs/images/dashboard.png

核心功能和特性

• 集中化漏洞管理：聚合来自不同工具的漏洞数据，统一管理漏洞信息
• 多用户协作：支持团队以多用户方式访问和操作，适应团队协作需求
• 自动化工具集成：通过插件系统集成80多种安全扫描工具（如Nmap、Burp Suite、OWASP ZAP等）
• 数据可视化：提供仪表盘和多种可视化视图，帮助管理人员和分析师直观了解漏洞状况
• CI/CD集成：支持在CI/CD流水线中集成扫描工具（如Bandit、OWASP ZAP、SonarQube），实现持续安全检测
• 命令行客户端：通过faraday-cli在终端直接操作，支持自动化扫描和结果导入
• 远程扫描执行：通过Faraday Agents Dispatcher远程运行扫描工具并获取结果

使用场景和适用范围

• 安全团队的日常漏洞管理流程
• 渗透测试结果的组织与跟踪
• CI/CD流水线中的自动化安全检测集成
• 多用户协作的漏洞响应与修复跟踪
• 企业级漏洞数据集中管理与报告生成

使用方法和配置说明

安装

Docker-compose

最简单的启动方式是使用docker-compose：

shell
$ wget https://raw.githubusercontent.com/infobyte/faraday/master/docker-compose.yaml
$ docker-compose up

如需自定义配置，可参考配置示例

Docker

需先运行Postgres数据库：

shell
$ docker run \
    -v $HOME/.faraday:/home/faraday/.faraday \
    -p 5985:5985 \
    -e PGSQL_USER='<postgres_user>' \
    -e PGSQL_HOST='<postgres_ip>' \
    -e PGSQL_PASSWD='<postgres_password>' \
    -e PGSQL_DBNAME='<postgres_db_name>' \
    faradaysec/faraday:latest

环境变量说明：

• PGSQL_USER：Postgres数据库用户名
• PGSQL_HOST：Postgres数据库主机IP地址
• PGSQL_PASSWD：Postgres数据库密码
• PGSQL_DBNAME：Postgres数据库名称

快速开始

了解Faraday的整体方法并重新思考漏洞管理：

• 集中化漏洞数据
• 自动化所需扫描器

在CI/CD中集成Faraday

在流水线中设置Bandit和OWASP ZAP：

• GitHub [PDF]
• Jenkins [PDF]
• TravisCI [PDF]

在流水线中设置Bandit、OWASP ZAP和SonarQube：

• Gitlab [PDF]

Faraday CLI

Faraday-cli是命令行客户端，可直接在终端操作Faraday，支持自动化扫描、CI/CD集成和工作区指标获取：

shell
$ pip3 install faraday-cli

查看https://github.com/infobyte/faraday-cli%E5%92%8C%E6%96%87%E6%A1%A3

!https://raw.githubusercontent.com/infobyte/faraday/master/docs/images/general.gif

Faraday Agents

https://github.com/infobyte/faraday_agent_dispatcher%E6%98%AF%E4%B8%80%E6%AC%BE%E5%B7%A5%E5%85%B7%EF%BC%8C%E4%BD%BFFaraday%E8%83%BD%E5%A4%9F%E4%BB%8E%E5%B9%B3%E5%8F%B0%E8%BF%9C%E7%A8%8B%E8%BF%90%E8%A1%8C%E6%89%AB%E6%8F%8F%E5%99%A8%E6%88%96%E5%B7%A5%E5%85%B7%E5%B9%B6%E8%8E%B7%E5%8F%96%E7%BB%93%E6%9E%9C%E3%80%82

插件

通过https://github.com/infobyte/faraday_plugins%E8%BF%9E%E6%8E%A5%E6%82%A8%E5%96%9C%E7%88%B1%E7%9A%84%E5%B7%A5%E5%85%B7%EF%BC%8C%E7%9B%AE%E5%89%8D%E6%94%AF%E6%8C%81https://github.com/infobyte/faraday/wiki/Plugin-List%EF%BC%8C%E5%8C%85%E6%8B%AC%EF%BC%9A

!https://raw.githubusercontent.com/infobyte/faraday/master/docs/images/plugins.jpg

缺少您喜爱的工具？https://github.com/infobyte/faraday_plugins/issues%EF%BC%81

插件分为两种类型：

Console插件：解析您执行的工具输出

shell
$ faraday-cli tool run "nmap www.exampledomain.com"
💻 处理Nmap命令
Starting Nmap 7.80 ( https://nmap.org ) at 2021-02-22 14:13 -03
Nmap scan report for www.exampledomain.com (10.196.205.130)
Host is up (0.17s latency).
rDNS record for 10.196.205.130: 10.196.205.130.bc.example.com
Not shown: 996 filtered ports
PORT     STATE  SERVICE
80/tcp   open   http
443/tcp  open   https
2222/tcp open   EtherNetIP-1
3306/tcp closed mysql
Nmap done: 1 IP address (1 host up) scanned in 11.12 seconds
⬆ 发送数据到工作区：test
✔ 完成

Report插件：允许导入先前生成的工件（如XML、JSON）

shell
faraday-cli tool report burp.xml

创建自定义插件非常简单，http://github.com/infobyte/faraday/wiki/Plugin-List%E3%80%82

API

您可以直接访问我们的API，查看文档。

链接

• 首页：faradaysec.com
• 文档：Faraday文档
• 下载：https://github.com/infobyte/faraday/releases
• 问题跟踪和反馈：https://github.com/infobyte/faraday/issues
• 常见问题：FaradaySEC FAQ
• ***：@faradaysec
• 试用演示：Demos