Vulnreport：开源渗透测试自动化管理平台

Vulnreport是一个管理渗透测试和自动生成报告的平台，为安全工程师节约大量的时间。它被设计来管理渗透测试，代码审计，并且生成漏洞报告。使用Vulnreport可以让安全研究者省去编写报告的时间，更专注于渗透测试的核心工作——寻找漏洞。

Vulnreport会跟踪你测试中的漏洞，提供一个简单的管理界面，然后分析你发现的漏洞，和你的时间消耗点。Vulnreport同时也可也作为其他漏洞评估工具的插件使用。讲它插入到你的自动化渗透测试框架中，然后观察漏洞数据流。

Vulnreport是Salesforce产品安全团队为了节省写报告的时间开发的。他们的目的是开发一款伟大的安全工具，让渗透测试者和安全工程师专注于发现和修复漏洞。

它在2016年的黑帽大会上开源，并且定期更新，所有安全社区的成员都可以修改，提交代码。Vulnreport使用了Ruby/Rack 应用，这使用了Sinatra DSL框架。如果你在你的虚拟机或者服务器上安装Vulnreport，你需要安装下面这些依赖：

Ruby (>= 2.1)
PostgreSQL
Redis (可选)
Rollbar
Bundler
WKHTMLTOPDF (可选)

从仓库中克隆代码然后打开.env文件，并更新。运行bundleinstall。你可能需要修改start.sh，因为你的环境可能不一样——仓库里有一个是开发调试版本。你需要基于.env.example建立一个.env文件，或者设置ENV环境变量。

在使用Vulnreport之前，你需要运行一次脚本来配置数据库，并初始化。这个脚本可以在根目录下找到，文件名为SEED.rb。运行方式./SEED.rb。如果你在Heroku，你需要这样运行heroku run ./SEED.rb -a [Vulnreport App]。如果你使用Heroku特征自动部署，这个步骤会自动完成。

当你运行脚本时，会有如下输出：

部署Vulnreport和seed脚本运行之后，你还需要在在线app中进行配置。首先，你要删掉这个seed脚本。然后用管理员帐户登录到Vulnreport——用户名admin 密码admin。默认账号密码需要马上修改，或者配置单点登录。

登录之后你首先需要设置的是Settings> VR Settings(/admin/settings)。这里你需要设置用户名和认证信息。然后，你可以重新配置用户设置和其他用户，组织，记录类型，漏洞类型等等。详细管理和配置方法请阅读文档。