2026-01-05 18:18:09 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 星韧(Xingrin)是开源分布式漏洞扫描与资产管理平台，集成Nuclei等20余款工具，支持子域名、端口、目录、漏洞全链自动化；主从架构可横向扩展多Worker节点，负载感知调度并实时心跳监控；提供组织-目标-资产多级管理、快照比对、Cron定时、WebSocket告警及明暗主题UI；一键Docker部署，适合大企业资产梳理、合规审计、应急筛查与上线前检测，禁止商用。 综合评分： 82 文章分类： 安全工具,漏洞分析,应用安全,安全建设,开源工具

cover_image

[技术分享]星韧(Xingrin) – 资产管理平台

Sec Online

2026年1月5日 15:11 上海

编者荐语：

攻击面管理的新选择

以下文章来源于Ncko ，作者niuko

Ncko .

niuko

[技术分享]星韧(Xingrin) – 企业级漏洞扫描与资产管理平台

免责声明：由于传播、利用本公众号Ncko所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

星韧平台界面展示

在数字化浪潮席卷全球的今天，企业网络安全态势日益复杂。如何有效管理企业资产、及时发现漏洞威胁，成为信息安全团队面临的核心挑战。今天，我要为大家介绍一款强大的开源工具——星韧(Xingrin)，这是一款专为现代企业设计的漏洞扫描与资产管理平台。

项目背景与定位

星韧(Xingrin)是由中国安全爱好者yyhuni开发的一款现代化企业级漏洞扫描与资产管理平台。该平台集成了多个知名安全工具，实现了从资产发现到漏洞扫描的全流程自动化，为企业安全团队提供了一站式的安全检测解决方案。

核心功能特性

1. 🎯 目标与资产管理

星韧平台在资产管理方面表现尤为出色，为企业提供了全方位的资产管控能力：

• 组织管理：支持多层级目标组织架构，便于大型企业的资产分组管理
• 目标管理：灵活支持域名、IP等多种目标类型的统一管理
• 资产发现：自动完成子域名、网站、端点、目录等多维度资产发现
• 资产快照：提供扫描结果快照对比功能，实时追踪资产变化情况

2. 🔍 漏洞扫描引擎

星韧平台集成了当前主流的安全扫描引擎，提供专业级的漏洞检测能力：

• 多引擎支持：深度集成Nuclei等业界顶尖的漏洞扫描引擎
• 自定义流程：通过YAML配置文件实现扫描流程的灵活编排
• 定时扫描：支持Cron表达式配置，实现自动化周期性扫描任务

3. 🖥️ 分布式架构设计

传统单机扫描在面对大规模企业资产时往往捉襟见肘，星韧采用分布式架构解决了这一痛点：

• 多节点扫描：支持部署多个Worker节点，实现横向扩展扫描能力
• 本地节点：零配置安装，自动注册本地Docker Worker
• 远程节点：支持SSH一键部署远程VPS作为扫描节点
• 负载感知调度：实时感知各节点负载情况，智能分发任务到最优节点
• 节点监控：通过心跳检测机制，实时监控CPU/内存/磁盘状态
• 断线重连：节点离线自动检测，恢复后自动重新接入系统

┌─────────────────────────────────────────────────────────────────┐
│ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; 主服务器 (Master) &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; │
│ &nbsp;┌─────────┐ &nbsp;┌─────────┐ &nbsp;┌─────────┐ &nbsp;┌─────────┐ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;│
│ &nbsp;│ Next.js │ &nbsp;│ Django &nbsp;│ &nbsp;│ Postgres│ &nbsp;│ &nbsp;Redis &nbsp;│ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;│
│ &nbsp;│ 前端 &nbsp; &nbsp;│ &nbsp;│ 后端 &nbsp; &nbsp;│ &nbsp;│ 数据库 &nbsp;│ &nbsp;│ &nbsp;缓存 &nbsp; │ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;│
│ &nbsp;└─────────┘ &nbsp;└────┬────┘ &nbsp;└─────────┘ &nbsp;└─────────┘ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;│
│ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;│ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;│
│ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;┌─────┴─────┐ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;│
│ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;│ 任务调度器 │ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;│
│ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;│ Scheduler │ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;│
│ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;└─────┬─────┘ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;│
└────────────────────┼────────────────────────────────────────────┘
&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;│
&nbsp; &nbsp; &nbsp; &nbsp; ┌────────────┼────────────┐
&nbsp; &nbsp; &nbsp; &nbsp; │ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;│ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;│
&nbsp; &nbsp; &nbsp; &nbsp; ▼ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;▼ &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;▼
┌───────────┐ ┌───────────┐ ┌───────────┐
│ &nbsp;Worker 1 │ │ &nbsp;Worker 2 │ │ &nbsp;Worker N │
│ &nbsp;(本地) &nbsp; │ │ &nbsp;(远程) &nbsp; │ │ &nbsp;(远程) &nbsp; │
├───────────┤ ├───────────┤ ├───────────┤
│ • Nuclei &nbsp;│ │ • Nuclei &nbsp;│ │ • Nuclei &nbsp;│
│ • httpx &nbsp; │ │ • httpx &nbsp; │ │ • httpx &nbsp; │
│ • naabu &nbsp; │ │ • naabu &nbsp; │ │ • naabu &nbsp; │
│ • ... &nbsp; &nbsp; │ │ • ... &nbsp; &nbsp; │ │ • ... &nbsp; &nbsp; │
├───────────┤ ├───────────┤ ├───────────┤
│ &nbsp;心跳上报 &nbsp;│ │ &nbsp;心跳上报 &nbsp;│ │ &nbsp;心跳上报 &nbsp;│
└───────────┘ └───────────┘ └───────────┘

4. 📊 直观的可视化界面

优秀的用户体验是现代安全工具的重要特征，星韧在这方面下了不少功夫：

• 数据统计：提供资产/漏洞统计仪表盘，让安全状况一目了然
• 实时通知：基于WebSocket的实时消息推送，重要事件即时提醒
• 暗色主题：支持明暗主题切换，适应不同使用场景

多种UI主题展示

技术架构解析

星韧平台采用现代化的技术栈架构，保证了系统的稳定性和可扩展性：

前端技术栈

• Next.js：全栈React框架，提供卓越的性能
• React：构建用户界面的JavaScript库
• TailwindCSS：实用的优先级CSS框架

后端技术栈

• Django：高级Python Web框架
• Django REST Framework：构建REST API的强大工具

数据存储

• PostgreSQL：关系型数据库，存储核心业务数据
• Redis：内存数据结构存储，用于缓存和队列

部署方案

• Docker：容器化部署，简化环境配置
• Nginx：高性能Web服务器和反向代理

内置扫描工具详解

星韧平台集成了丰富的安全扫描工具，涵盖了资产发现和漏洞检测的各个环节：

快速部署指南

星韧平台支持一键安装，大大降低了部署门槛：

环境要求

• 操作系统：Ubuntu 20.04+ / Debian 11+（推荐）
• 硬件：2核4G内存起步，10GB+磁盘空间

一键安装流程

# 克隆项目
git&nbsp;clone&nbsp;https://github.com/yyhuni/xingrin.git
cd&nbsp;xingrin

# 安装并启动（生产模式）
sudo&nbsp;./install.sh

# 开发模式
sudo&nbsp;./install.sh --dev

服务访问

安装完成后，可通过以下地址访问Web界面：

• Web界面：https://localhost 或 http://localhost

常用运维命令

# 启动服务
sudo&nbsp;./start.sh

# 停止服务
sudo&nbsp;./stop.sh

# 重启服务
sudo&nbsp;./restart.sh

# 卸载
sudo&nbsp;./uninstall.sh

# 更新
sudo&nbsp;./update.sh

实际应用场景

星韧平台的分布式架构使得它特别适合以下场景：

1. 大型企业资产梳理

对于拥有大量IT资产的大型企业，星韧可以帮助快速发现和管理所有互联网暴露面，包括服务器、域名、应用等。

2. 安全合规审计

定期自动化扫描可以帮助企业满足网络安全法、等保2.0等合规要求，确保资产安全状态符合规范。

3. 漏洞应急响应

当新的漏洞爆出时，可以在短时间内完成对整个企业资产的快速筛查，识别出受影响的系统并优先处理。

4. 新系统上线前检测

在新系统上线前进行安全扫描，及时发现潜在的安全风险，避免”带病上线”。

许可证与使用规范

允许的用途

• ✅ 个人学习和研究
• ✅ 非商业安全测试
• ✅ 教育机构使用
• ✅ 非营利组织使用

禁止的用途

• ❌ 商业用途（包括但不限于：出售、商业服务、SaaS等）
• ❌ 未经授权的渗透测试
• ❌ 任何违法行为

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Sec Online 《[技术分享]星韧(Xingrin) – 资产管理平台》