我作为安全工程师，必须心中有安全，两手抓安全。但是我违背初心了，我抓着安全吃着java，java版本还不是java8，我有罪

于是我决定回归初心，pull了两套开源框架下来审计，也不能说审出什么大洞了，只能说搞到一点“开发说代码是这样写的，不是漏洞，但是怎么就被漏洞利用了”的“安全特性”

用我的资产聚合平台（基于vaadin框架的网络空间资产聚合平台 – zgbsm's note）拉资产下来简单扫了一下，这些安全特性被运维哥哥操作之后产生漏洞的情况还是蛮常见的，有风险的资产起码占个10%-20%，hvv的时候应该一波扫过去能中一到两个

但是不排除一种情况，毕竟运维也是人，人就要背锅，但是人不想背锅，所以人要兼职“黑锅安装工程师”，把锅安到开发头上。一旦开发接锅了，那就要修复，我作为龙泉乡工作经验两年半的造锅工程师，必须知道开发们对我造的锅的“安装反馈”

说人话就是，我想知道自己挖的洞什么时候修了，以及管理一下commit消息，第一时间知道1day的情况

所以今天这篇文章的重点就是拉commit消息，主要就是定时任务拉gitee的api，然后过一遍文件名钩子，钩到一个叫一声，每天我人登录上去看看这个系统叫了几声，再做个流程管理，有什么想法及时生成一个待办，然后待办可以开子任务，管理待办和子任务的状态即可

我简单画个图，让大家了解一下这个产品思路

其实这个东西我觉得也是一个企业和个人都可以使用的，对于个人用户，我把它部署在自己家里，平时多挖洞提升自己能力，洞挖多了，用这个系统监控这些洞，起码知道什么时候修了，对于最新1day，还能学习别人的挖洞思路，多好。对于企业用户，可以用来盯着那些开源项目的更新，及时获取漏洞消息，管控供应链风险；对于那种有安全实验室的企业，也可以用来跟踪自己的0day漏洞的生命周期，比如0day可能上报之后，开源项目组的更新动态

最后做出来效果是这样的

因为这个系统我今天写好就开始用了，有一点数据在里面，那两个漏洞就是我说的“安全特性”，只要正确部署应用，密码改改好就行，没什么危害的