PoC 与规则

本页介绍 afrog PoC 与规则体系的设计原则、风险分级思路与更新机制,不展示任何敏感利用细节,重点说明在合规前提下如何理解和使用规则。

设计原则

以可维护性和可控性为优先

  • · 规则以 YAML 描述为主,降低编写和评审门槛,便于团队协作维护。
  • · 对复杂协议和链式逻辑,通过 Go 扩展实现,避免在规则中堆叠难以理解的逻辑。
  • · 在设计检查流程时优先考虑对目标环境的影响,尽量减少高风险操作。
风险分级与规则类别

区分信息收集、弱点检查和高危验证

  • · 按照风险等级对规则进行分级,便于在不同场景下按需启用。
  • · 将信息收集类、配置弱点类与高危验证类规则分开管理,便于在生产环境中谨慎使用。
  • · 鼓励在组织内部建立自己的分级标准,与现有风险体系打通。
更新机制与版本管理

持续迭代但保持可追溯

  • · 规则更新以小步快跑为原则,优先修复误报/漏报和兼容性问题。
  • · 每次规则变更应保留版本记录和变更说明,便于问题追踪和回滚。
  • · 建议在内部通过灰度或测试环境验证新规则,再推广到生产扫描任务中。
与 Curated 服务的关系

自建规则与精选规则的组合

  • · 开源规则库提供基础能力,Curated 服务在此基础上提供经过筛选和维护的高质量规则。
  • · 组织可以在自建规则库中补充与自身业务强相关的检查项,与 Curated 形成互补。
  • · 无论使用何种规则来源,都应遵守授权边界和内部合规流程。