我们很高兴宣布Electronegativity的公开版本发布，这是一款能够识别基于Electron框架应用程序中错误配置和安全反模式的开源工具。

只需通过NPM安装即可体验：

1

$ npm install @doyensec/electronegativity -g

扫描应用命令：

1

$ electronegativity -i /path/to/electron/app

开发背景

2017年BlackHat大会上我们首次系统性地研究了Electron安全性问题。随后与Claudio Merloni共同开发了工具原型，经过Ibram Marzouk和Jaroslav Lobacevski等成员的持续改进，最终完成这个专为Electron开发者设计的安全伴侣工具。

技术原理

工具采用AST/DOM解析技术，通过三种检测模块全面分析应用资源：

• JS分析（结合Esprima/Babel/TypeScript ESTree）
• HTML解析（使用Cheerio）
• JSON处理（原生JSON.parse）

检测能力

当前版本集成27项安全检查规则，涵盖：

• 节点集成风险（NODE_INTEGRATION系列检测）
• 安全沙箱配置（SANDBOX_JS_CHECK）
• 协议处理器漏洞（PROTOCOL_HANDLER_JS_CHECK）
• 证书验证缺陷（CERTIFICATE_VERIFY_PROC_JS_CHECK）
• 危险函数调用（DANGEROUS_FUNCTIONS_JS_CHECK）等

检测结果支持终端表格、CSV和SARIF多种输出格式。每个漏洞类型都附有详细知识库说明，包含风险评级和审计策略。

随着Electron框架的持续演进，我们将不断更新检测规则。立即使用Electronegativity为您的Electron应用保驾护航！