appsec-tool-kit 0.1.0__tar.gz

appsec_tool_kit-0.1.0/.github/workflows/tests.yml

@@ -0,0 +1,27 @@
+name: Tests
+
+on:
+  push:
+    branches: [main, master]
+  pull_request:
+    branches: [main, master]
+
+permissions:
+  contents: read
+
+jobs:
+  test:
+    name: pytest
+    runs-on: ubuntu-latest
+    steps:
+      - uses: actions/checkout@v4
+
+      - uses: actions/setup-python@v5
+        with:
+          python-version: "3.12"
+
+      - uses: astral-sh/setup-uv@v5
+
+      - run: uv sync --group dev
+
+      - run: uv run pytest --tb=short

appsec_tool_kit-0.1.0/.gitignore

@@ -0,0 +1,10 @@
+# Python-generated files
+__pycache__/
+*.py[oc]
+build/
+dist/
+wheels/
+*.egg-info
+
+# Virtual environments
+.venv

appsec_tool_kit-0.1.0/.python-version

@@ -0,0 +1 @@
+3.12

appsec_tool_kit-0.1.0/PKG-INFO

@@ -0,0 +1,255 @@
+Metadata-Version: 2.4
+Name: appsec-tool-kit
+Version: 0.1.0
+Summary: Interactive CLI to configure security tools for CI/CD pipelines
+Requires-Python: >=3.12
+Requires-Dist: questionary>=2.0
+Requires-Dist: rich>=13.0
+Description-Content-Type: text/markdown
+
+# AppSec Kit
+
+CLI interativo que configura ferramentas de segurança para esteiras CI/CD com um único comando. Roda no projeto do dev e gera os arquivos prontos para uso.
+
+**Suporte:** Python · Node.js · GitHub Actions
+
+---
+
+## O que ele instala
+
+| Camada | Python | Node.js |
+|---|---|---|
+| SAST | Bandit | Semgrep |
+| Dependency scanning | pip-audit | npm audit |
+| Secret scanning | Gitleaks + detect-secrets | Gitleaks + detect-secrets |
+| Pre-commit hooks | pre-commit | pre-commit |
+
+---
+
+## Pré-requisitos
+
+- Python 3.12+
+- [uv](https://docs.astral.sh/uv/) ou pip
+- Git inicializado no projeto-alvo (`git init`)
+
+---
+
+## Instalação
+
+### Via uv (recomendado)
+
+```bash
+uv tool install appsec-tool-kit
+```
+
+### Via pip
+
+```bash
+pip install appsec-tool-kit
+```
+
+### Direto do repositório (desenvolvimento)
+
+```bash
+git clone https://github.com/seu-usuario/appsec-tool-kit.git
+cd appsec-tool-kit
+uv sync
+uv run appsec-kit
+```
+
+---
+
+## Tutorial passo a passo
+
+### Passo 1 — Acesse o diretório do seu projeto
+
+```bash
+cd /caminho/do/seu/projeto
+```
+
+> O kit detecta automaticamente o tipo de projeto pelo conteúdo do diretório.
+
+---
+
+### Passo 2 — Execute o wizard
+
+```bash
+appsec-kit
+```
+
+Você verá a tela inicial:
+
+```
+╭──────────────────────────────────────────────────────╮
+│  AppSec Kit  –  Security toolkit for CI/CD pipelines │
+╰──────────────────────────────────────────────────────╯
+
+Detected: Python project
+
+? Project type:
+> Python
+  Node.js
+```
+
+---
+
+### Passo 3 — Confirme o tipo de projeto
+
+O kit detecta automaticamente se é **Python** ou **Node.js** pelo conteúdo do diretório:
+
+- Python → presença de `pyproject.toml`, `requirements.txt`, `setup.py` ou `Pipfile`
+- Node.js → presença de `package.json`
+
+Confirme ou altere com as setas e pressione `Enter`.
+
+---
+
+### Passo 4 — Confirme o diretório-alvo
+
+```
+? Target directory: [.]
+```
+
+Pressione `Enter` para usar o diretório atual ou informe outro caminho:
+
+```
+? Target directory: ../meu-outro-projeto
+```
+
+---
+
+### Passo 5 — Selecione as camadas de segurança
+
+```
+? Security layers to configure:
+ > [x] SAST (Static Analysis)
+   [x] Dependency Scanning
+   [x] Secret Scanning
+   [x] Pre-commit Hooks
+```
+
+Use `Espaço` para marcar/desmarcar, `Enter` para confirmar.
+Por padrão todas as camadas ficam selecionadas.
+
+---
+
+### Passo 6 — Aguarde a geração dos arquivos
+
+```
+  ✓  .github/workflows/security.yml  (created)
+  ✓  .pre-commit-config.yaml         (created)
+  ↻  pyproject.toml                  (updated)
+```
+
+---
+
+### Passo 7 — Siga as instruções pós-instalação
+
+O wizard exibe os próximos passos automaticamente:
+
+```
+╭─ Next steps ──────────────────────────────────────────╮
+│  pip install pre-commit detect-secrets                 │
+│  detect-secrets scan > .secrets.baseline               │
+│  pre-commit install                                    │
+│                                                        │
+│  # Commit e push para ativar o GitHub Actions:        │
+│  git add .github/ .pre-commit-config.yaml             │
+│  git commit -m "chore: add appsec security config"    │
+│  git push                                             │
+╰───────────────────────────────────────────────────────╯
+```
+
+Execute esses comandos na ordem.
+
+---
+
+## O que é gerado
+
+### `.github/workflows/security.yml`
+
+Workflow do GitHub Actions com jobs separados por camada:
+
+- **SAST** — análise estática roda a cada push/PR
+- **Dependency scan** — verifica vulnerabilidades nas dependências
+- **Secret scanning** — Gitleaks varre o histórico git em busca de segredos expostos
+
+O workflow é acionado em push e pull requests para `main` e `master`.
+
+---
+
+### `.pre-commit-config.yaml`
+
+Hooks que rodam localmente antes de cada commit:
+
+**Python:**
+```yaml
+repos:
+  - repo: https://github.com/PyCQA/bandit      # SAST
+  - repo: https://github.com/Yelp/detect-secrets # secrets
+  - repo: https://github.com/pypa/pip-audit      # dependências
+```
+
+**Node.js:**
+```yaml
+repos:
+  - repo: https://github.com/Yelp/detect-secrets # secrets
+  - repo: https://github.com/gitleaks/gitleaks   # secrets
+  - repo: local                                   # npm audit
+```
+
+---
+
+### `pyproject.toml` (apenas Python)
+
+Adiciona configuração do Bandit ao arquivo existente:
+
+```toml
+[tool.bandit]
+exclude_dirs = ["tests", "venv", ".venv"]
+skips = []
+```
+
+---
+
+## Casos de uso comuns
+
+### Só quero pre-commit, sem CI
+
+Execute o wizard e desmarque as camadas SAST, Dependency Scanning e Secret Scanning. Mantenha apenas **Pre-commit Hooks** selecionado.
+
+### Só quero o GitHub Actions, sem pre-commit
+
+Desmarque **Pre-commit Hooks** e mantenha as outras camadas.
+
+### Projeto já tem `.pre-commit-config.yaml`
+
+O kit sobrescreve o arquivo com status `(updated)`. Faça backup antes se necessário:
+
+```bash
+cp .pre-commit-config.yaml .pre-commit-config.yaml.bak
+appsec-kit
+```
+
+---
+
+## Atualizando versões dos hooks
+
+As versões dos hooks pre-commit ficam fixadas em `.pre-commit-config.yaml`. Para atualizar todas para o latest:
+
+```bash
+pre-commit autoupdate
+```
+
+---
+
+## Ferramentas utilizadas
+
+| Ferramenta | Finalidade | Docs |
+|---|---|---|
+| [Bandit](https://bandit.readthedocs.io/) | SAST para Python | bandit.readthedocs.io |
+| [Semgrep](https://semgrep.dev/) | SAST para JavaScript/TypeScript | semgrep.dev |
+| [pip-audit](https://pypi.org/project/pip-audit/) | CVEs em dependências Python | pypi.org/project/pip-audit |
+| [detect-secrets](https://github.com/Yelp/detect-secrets) | Detecção de segredos | github.com/Yelp/detect-secrets |
+| [Gitleaks](https://gitleaks.io/) | Varredura de segredos no histórico git | gitleaks.io |
+| [pre-commit](https://pre-commit.com/) | Framework de git hooks | pre-commit.com |

appsec_tool_kit-0.1.0/README.md

@@ -0,0 +1,246 @@
+# AppSec Kit
+
+CLI interativo que configura ferramentas de segurança para esteiras CI/CD com um único comando. Roda no projeto do dev e gera os arquivos prontos para uso.
+
+**Suporte:** Python · Node.js · GitHub Actions
+
+---
+
+## O que ele instala
+
+| Camada | Python | Node.js |
+|---|---|---|
+| SAST | Bandit | Semgrep |
+| Dependency scanning | pip-audit | npm audit |
+| Secret scanning | Gitleaks + detect-secrets | Gitleaks + detect-secrets |
+| Pre-commit hooks | pre-commit | pre-commit |
+
+---
+
+## Pré-requisitos
+
+- Python 3.12+
+- [uv](https://docs.astral.sh/uv/) ou pip
+- Git inicializado no projeto-alvo (`git init`)
+
+---
+
+## Instalação
+
+### Via uv (recomendado)
+
+```bash
+uv tool install appsec-tool-kit
+```
+
+### Via pip
+
+```bash
+pip install appsec-tool-kit
+```
+
+### Direto do repositório (desenvolvimento)
+
+```bash
+git clone https://github.com/seu-usuario/appsec-tool-kit.git
+cd appsec-tool-kit
+uv sync
+uv run appsec-kit
+```
+
+---
+
+## Tutorial passo a passo
+
+### Passo 1 — Acesse o diretório do seu projeto
+
+```bash
+cd /caminho/do/seu/projeto
+```
+
+> O kit detecta automaticamente o tipo de projeto pelo conteúdo do diretório.
+
+---
+
+### Passo 2 — Execute o wizard
+
+```bash
+appsec-kit
+```
+
+Você verá a tela inicial:
+
+```
+╭──────────────────────────────────────────────────────╮
+│  AppSec Kit  –  Security toolkit for CI/CD pipelines │
+╰──────────────────────────────────────────────────────╯
+
+Detected: Python project
+
+? Project type:
+> Python
+  Node.js
+```
+
+---
+
+### Passo 3 — Confirme o tipo de projeto
+
+O kit detecta automaticamente se é **Python** ou **Node.js** pelo conteúdo do diretório:
+
+- Python → presença de `pyproject.toml`, `requirements.txt`, `setup.py` ou `Pipfile`
+- Node.js → presença de `package.json`
+
+Confirme ou altere com as setas e pressione `Enter`.
+
+---
+
+### Passo 4 — Confirme o diretório-alvo
+
+```
+? Target directory: [.]
+```
+
+Pressione `Enter` para usar o diretório atual ou informe outro caminho:
+
+```
+? Target directory: ../meu-outro-projeto
+```
+
+---
+
+### Passo 5 — Selecione as camadas de segurança
+
+```
+? Security layers to configure:
+ > [x] SAST (Static Analysis)
+   [x] Dependency Scanning
+   [x] Secret Scanning
+   [x] Pre-commit Hooks
+```
+
+Use `Espaço` para marcar/desmarcar, `Enter` para confirmar.
+Por padrão todas as camadas ficam selecionadas.
+
+---
+
+### Passo 6 — Aguarde a geração dos arquivos
+
+```
+  ✓  .github/workflows/security.yml  (created)
+  ✓  .pre-commit-config.yaml         (created)
+  ↻  pyproject.toml                  (updated)
+```
+
+---
+
+### Passo 7 — Siga as instruções pós-instalação
+
+O wizard exibe os próximos passos automaticamente:
+
+```
+╭─ Next steps ──────────────────────────────────────────╮
+│  pip install pre-commit detect-secrets                 │
+│  detect-secrets scan > .secrets.baseline               │
+│  pre-commit install                                    │
+│                                                        │
+│  # Commit e push para ativar o GitHub Actions:        │
+│  git add .github/ .pre-commit-config.yaml             │
+│  git commit -m "chore: add appsec security config"    │
+│  git push                                             │
+╰───────────────────────────────────────────────────────╯
+```
+
+Execute esses comandos na ordem.
+
+---
+
+## O que é gerado
+
+### `.github/workflows/security.yml`
+
+Workflow do GitHub Actions com jobs separados por camada:
+
+- **SAST** — análise estática roda a cada push/PR
+- **Dependency scan** — verifica vulnerabilidades nas dependências
+- **Secret scanning** — Gitleaks varre o histórico git em busca de segredos expostos
+
+O workflow é acionado em push e pull requests para `main` e `master`.
+
+---
+
+### `.pre-commit-config.yaml`
+
+Hooks que rodam localmente antes de cada commit:
+
+**Python:**
+```yaml
+repos:
+  - repo: https://github.com/PyCQA/bandit      # SAST
+  - repo: https://github.com/Yelp/detect-secrets # secrets
+  - repo: https://github.com/pypa/pip-audit      # dependências
+```
+
+**Node.js:**
+```yaml
+repos:
+  - repo: https://github.com/Yelp/detect-secrets # secrets
+  - repo: https://github.com/gitleaks/gitleaks   # secrets
+  - repo: local                                   # npm audit
+```
+
+---
+
+### `pyproject.toml` (apenas Python)
+
+Adiciona configuração do Bandit ao arquivo existente:
+
+```toml
+[tool.bandit]
+exclude_dirs = ["tests", "venv", ".venv"]
+skips = []
+```
+
+---
+
+## Casos de uso comuns
+
+### Só quero pre-commit, sem CI
+
+Execute o wizard e desmarque as camadas SAST, Dependency Scanning e Secret Scanning. Mantenha apenas **Pre-commit Hooks** selecionado.
+
+### Só quero o GitHub Actions, sem pre-commit
+
+Desmarque **Pre-commit Hooks** e mantenha as outras camadas.
+
+### Projeto já tem `.pre-commit-config.yaml`
+
+O kit sobrescreve o arquivo com status `(updated)`. Faça backup antes se necessário:
+
+```bash
+cp .pre-commit-config.yaml .pre-commit-config.yaml.bak
+appsec-kit
+```
+
+---
+
+## Atualizando versões dos hooks
+
+As versões dos hooks pre-commit ficam fixadas em `.pre-commit-config.yaml`. Para atualizar todas para o latest:
+
+```bash
+pre-commit autoupdate
+```
+
+---
+
+## Ferramentas utilizadas
+
+| Ferramenta | Finalidade | Docs |
+|---|---|---|
+| [Bandit](https://bandit.readthedocs.io/) | SAST para Python | bandit.readthedocs.io |
+| [Semgrep](https://semgrep.dev/) | SAST para JavaScript/TypeScript | semgrep.dev |
+| [pip-audit](https://pypi.org/project/pip-audit/) | CVEs em dependências Python | pypi.org/project/pip-audit |
+| [detect-secrets](https://github.com/Yelp/detect-secrets) | Detecção de segredos | github.com/Yelp/detect-secrets |
+| [Gitleaks](https://gitleaks.io/) | Varredura de segredos no histórico git | gitleaks.io |
+| [pre-commit](https://pre-commit.com/) | Framework de git hooks | pre-commit.com |

appsec_tool_kit-0.1.0/appsec_kit/cli.py

@@ -0,0 +1,135 @@
+import sys
+from pathlib import Path
+
+import questionary
+from rich.console import Console
+from rich.panel import Panel
+
+from .detector import detect_project_type
+from .versions import CI_LAYERS
+from .writer import write_configs
+
+console = Console()
+
+_LAYER_CHOICES = [
+    ("SAST (Static Analysis)", "sast"),
+    ("Dependency Scanning", "deps"),
+    ("Secret Scanning", "secrets"),
+    ("Pre-commit Hooks", "precommit"),
+]
+
+_STYLE = questionary.Style([
+    ("qmark", "fg:cyan bold"),
+    ("question", "bold"),
+    ("answer", "fg:cyan bold"),
+    ("pointer", "fg:cyan bold"),
+    ("highlighted", "fg:cyan bold"),
+    ("selected", "fg:green"),
+    ("instruction", "fg:default dim"),
+])
+
+
+def _print_next_steps(lang: str, layers: list[str]) -> None:
+    lines: list[str] = []
+
+    if "precommit" in layers:
+        lines += [
+            "pip install pre-commit detect-secrets",
+            "detect-secrets scan > .secrets.baseline",
+            "pre-commit install",
+        ]
+
+    if lang == "node" and "sast" in layers:
+        lines += [
+            "",
+            "# SEMGREP_APP_TOKEN (free) removes API rate limits in CI:",
+            "# 1. Create account at https://semgrep.dev",
+            "# 2. Go to Settings → Tokens → Create token",
+            "# 3. Add to GitHub: Settings → Secrets → SEMGREP_APP_TOKEN",
+        ]
+
+    if any(layer in layers for layer in CI_LAYERS) or "precommit" in layers:
+        lines += [
+            "",
+            "# Commit and push to activate GitHub Actions:",
+            "git add .github/ .pre-commit-config.yaml",
+            'git commit -m "chore: add appsec security configuration"',
+            "git push",
+        ]
+
+    if lines:
+        text = "\n".join(
+            f"  {line}" if line and not line.startswith("#") else line for line in lines
+        )
+        console.print(Panel(
+            text,
+            title="[bold green]Next steps[/bold green]",
+            border_style="green",
+            padding=(0, 1),
+        ))
+
+
+def run() -> None:
+    console.print()
+    console.print(Panel.fit(
+        "[bold cyan]AppSec Kit[/bold cyan]  [dim]–  Security toolkit for CI/CD pipelines[/dim]",
+        border_style="cyan",
+        padding=(0, 2),
+    ))
+    console.print()
+
+    detected = detect_project_type()
+    default_project = {"python": "Python", "node": "Node.js"}.get(detected or "", "Python")
+
+    if detected:
+        console.print(f"[dim]Detected:[/dim] [bold]{default_project}[/bold] project\n")
+
+    project_type = questionary.select(
+        "Project type:",
+        choices=["Python", "Node.js"],
+        default=default_project,
+        style=_STYLE,
+    ).ask()
+
+    if not project_type:
+        sys.exit(0)
+
+    target_dir = questionary.text(
+        "Target directory:",
+        default=".",
+        style=_STYLE,
+    ).ask()
+
+    if target_dir is None:
+        sys.exit(0)
+
+    target_path = Path(target_dir).expanduser().resolve()
+    if not target_path.is_dir():
+        console.print(f"[red]Error:[/red] '{target_dir}' is not a valid directory.")
+        sys.exit(1)
+
+    selected_layers = questionary.checkbox(
+        "Security layers to configure:",
+        choices=[
+            questionary.Choice(label, value=key, checked=True)
+            for label, key in _LAYER_CHOICES
+        ],
+        style=_STYLE,
+    ).ask()
+
+    if not selected_layers:
+        console.print("[yellow]No layers selected. Exiting.[/yellow]")
+        sys.exit(0)
+
+    lang = "python" if project_type == "Python" else "node"
+
+    console.print()
+    results = write_configs(target_path, lang, selected_layers)
+
+    for rel_path, status in results:
+        color = "green" if status == "created" else "yellow"
+        icon = "✓" if status == "created" else "↻"
+        console.print(f"  [{color}]{icon}[/{color}]  {rel_path}  [dim]({status})[/dim]")
+
+    console.print()
+    _print_next_steps(lang, selected_layers)

appsec_tool_kit-0.1.0/appsec_kit/detector.py

@@ -0,0 +1,16 @@
+from pathlib import Path
+
+_PYTHON_MARKERS = ("pyproject.toml", "setup.py", "requirements.txt", "Pipfile")
+_NODE_MARKERS = ("package.json",)
+
+
+def detect_project_type(path: Path | None = None) -> str | None:
+    """Return 'python', 'node', or None when both or neither are detected."""
+    target = path or Path.cwd()
+    has_python = any((target / f).exists() for f in _PYTHON_MARKERS)
+    has_node = any((target / f).exists() for f in _NODE_MARKERS)
+    if has_python and not has_node:
+        return "python"
+    if has_node and not has_python:
+        return "node"
+    return None