Open Attack Surface Management (OASM) là một nền tảng mã nguồn mở hoàn thiện dành cho quản lý bề mặt tấn công (Attack Surface Management) trong lĩnh vực an ninh mạng. Dự án được phát triển bởi tổ chức oasm-platform trên GitHub, sử dụng giấy phép GPL-3.0, và hiện đã đạt 100⭐ stars, 16 forks cùng 19 releases (phiên bản mới nhất: v0.5.0). Repository có tổng cộng 737 commits, cho thấy sự phát triển rất tích cực và liên tục của cộng đồng.
Mục tiêu chính của OASM là giúp các đội ngũ an ninh mạng nhận diện, theo dõi và quản lý toàn bộ tài sản số hướng ra Internet cũng như các rủi ro bảo mật tiềm ẩn trên hạ tầng kỹ thuật số của tổ chức. Ứng dụng được xây dựng bằng TypeScript (98.4%) kết hợp với Go, JavaScript, Shell, CSS, HTML và Dockerfile.
1. Tổng quan các chức năng chính
Dưới đây là bảng tóm tắt toàn bộ các tính năng mà OASM cung cấp (trích xuất trực tiếp từ README chính thức của dự án):
| # | Chức năng | Mô tả chi tiết |
|---|---|---|
| 1 | Asset Discovery & Management | Khám phá và quản lý các tài sản hướng Internet (domain, địa chỉ IP, dịch vụ). Hỗ trợ nhóm tài sản (grouping) và nhiều không gian làm việc (multi-workspace). |
| 2 | Vulnerability Assessment | Quét lỗ hổng bảo mật và lỗi cấu hình. Bao gồm theo dõi vấn đề (issue tracking), phân tích rủi ro (risk analysis) và hướng dẫn khắc phục (remediation guidance). |
| 3 | Technology Detection | Nhận diện các công nghệ và dịch vụ đang chạy trên tài sản đã phát hiện – giúp xây dựng bản đồ tổng quan về hạ tầng kỹ thuật. |
| 4 | Distributed Scanning Engine | Engine quét phân tán hiệu năng cao với các worker có thể dễ dàng scale theo chiều ngang để xử lý song song nhiều tác vụ quét cùng lúc. |
| 5 | Tool Integration | Framework mở rộng (extensible) cho phép tích hợp các công cụ quét bảo mật khác nhau vào nền tảng. |
| 6 | AI Assistant Integration | Tích hợp MCP (Model Context Protocol) server cho phép trợ lý AI truy vấn dữ liệu tài sản thông qua ngôn ngữ tự nhiên. |
| 7 | Workflow Automation | Tự động hóa lịch trình quét (scanning schedules), cảnh báo (alerts) và quy trình khắc phục (remediation workflows). |
| 8 | Real-time Monitoring | Theo dõi thay đổi tài sản theo thời gian thực với thông báo tức thì (instant notifications) và dashboard thống kê. |
| 9 | Search & Analytics | Tìm kiếm và lọc dữ liệu tài sản kèm phân tích xu hướng rủi ro và báo cáo. |
2. Kiến trúc hệ thống (System Architecture)
OASM vận hành trên kiến trúc phân tán hoàn chỉnh, bao gồm các thành phần sau:
| Thành phần | Vai trò trong hệ thống |
|---|---|
| Web Console | Giao diện web dành cho người dùng – quản lý tài sản, tương tác và giám sát thời gian thực. Cung cấp trải nghiệm trực quan qua REST API giao tiếp với Core API. |
| Core API Service | Xử lý toàn bộ business logic, lưu trữ dữ liệu và điều phối job quét. Là trái tim của nền tảng, kết nối trực tiếp với PostgreSQL và Redis. |
| Redis | Lớp queue và caching – phân phối job bất đồng bộ, rate limiting và tách biệt các thành phần hệ thống (system decoupling). |
| Distributed Workers | Các worker phân tán thực thi tác vụ quét hiệu năng cao. Thiết kế cho auto-scaling theo chiều ngang và chịu lỗi (fault tolerance). |
| PostgreSQL | CSDL quan hệ lưu trữ tài sản, kết quả quét và trạng thái hệ thống một cách bền vững. |
| MCP Server | Model Context Protocol server – cung cấp context có cấu trúc cho hệ thống AI, cho phép AI/LLM truy vấn và phân tích dữ liệu tài sản. |
| AI/LLM Integration | Tích hợp với các mô hình AI/LLM để cho phép truy vấn thông minh, phân tích tự động và điều khiển qua ngôn ngữ tự nhiên trên dữ liệu đã thu thập. |
Sơ đồ luồng hoạt động
Hệ thống hoạt động theo 3 luồng chính:
- Luồng người dùng: User/Security Team → Web Console → REST API → Core API → PostgreSQL/Redis
- Luồng quét: Core API phân phối Job → Worker 1..N → Scan Internet/Attack Surface → Trả kết quả về Core API
- Luồng AI: AI Assistant/LLM ↔ MCP Server ↔ Core API (Fetch Asset Data)
3. Cấu trúc thư mục dự án
Nền tảng được tổ chức theo kiến trúc monorepo với các thư mục chính sau:
| Thư mục / File | Mô tả |
|---|---|
console/ |
Mã nguồn giao diện Web Console (frontend) |
core-api/ |
Core API Service – backend xử lý nghiệp vụ |
worker/ |
Distributed scanning workers – thực thi tác vụ quét |
grpc-client/ |
gRPC client – giao tiếp liên thành phần |
docs/ |
Tài liệu và hình ảnh minh họa |
.agents/skills/ |
AI agent skills – kỹ năng cho tác nhân AI |
.github/ |
GitHub Actions workflows (CI/CD) |
.husky/ |
Git hooks cho pre-commit checks |
.kilo/ |
Cấu hình Kilo (công cụ quản lý) |
docker-compose.yml |
Cấu hình Docker Compose để triển khai toàn bộ hệ thống |
package.json |
Quản lý dependencies (monorepo workspace) |
.mcp.json |
Cấu hình MCP (Model Context Protocol) |
taskfile.yml |
Task runner – tự động hóa các tác vụ phát triển |
AGENTS.md |
Tài liệu hướng dẫn cho AI agents |
DEVELOPER_GUIDE.md |
Hướng dẫn chi tiết dành cho nhà phát triển |
4. Ngôn ngữ lập trình & Tech Stack
Dự án sử dụng đa ngôn ngữ nhưng chủ yếu tập trung vào TypeScript:
| Ngôn ngữ | Tỷ lệ | Vai trò |
|---|---|---|
| TypeScript | 98.4% | Phát triển toàn bộ Web Console, Core API, Worker logic |
| JavaScript | 0.6% | Các script phụ trợ và tiện ích |
| Go | 0.3% | gRPC client và các thành phần hiệu năng cao |
| Shell | 0.2% | Script tự động hóa triển khai, CI/CD |
| CSS | 0.2% | Định dạng giao diện web |
| HTML | 0.2% | Các template giao diện |
| Dockerfile | 0.1% | Đóng gói container cho từng service |
5. Giao diện thực tế (Screenshots)
Dưới đây là các ảnh chụp màn hình trực tiếp từ dự án, minh họa từng phần của nền tảng:
5.1. Dashboard Tổng quan
Dashboard hiển thị thống kê tổng quan về tài sản, lỗ hổng và trạng thái hệ thống giám sát:
5.2. Quản lý Tài sản (Assets)
Giao diện quản lý và hiển thị danh sách tài sản Internet-facing, hỗ trợ grouping và multi-workspace:
5.3. Technology Detection
Nhận diện công nghệ và dịch vụ chạy trên tài sản:
5.4. Vulnerability Assessment
Quét và quản lý lỗ hổng bảo mật với risk analysis và remediation guidance:
5.5. Quản lý Công cụ (Tools)
Framework tích hợp các công cụ quét bảo mật:
5.6. Distributed Workers
Giao diện quản lý và theo dõi trạng thái các distributed workers:
5.7. MCP Server – AI Integration
Kết nối MCP Server với trợ lý AI để truy vấn dữ liệu tài sản bằng ngôn ngữ tự nhiên:
5.8. Job Registry
Theo dõi và quản lý trạng thái tất cả các job quét trong hệ thống:
6. Hướng dẫn cài đặt nhanh bằng Docker
OASM cung cấp repo Docker riêng để triển khai nhanh chóng chỉ trong 3 bước:
Bước 1: Clone repository Docker:
git clone https://github.com/oasm-platform/oasm-docker.git
cd oasm-docker
Bước 2: Cấu hình environment:
cp .env.example .env
Bước 3: Khởi động toàn bộ hệ thống:
docker compose up -d
Hệ thống sẽ tự động khởi động tất cả các thành phần: Console, Core API, Workers và Database. Truy cập ứng dụng tại địa chỉ http://localhost:6276.
Docker images chính thức có sẵn trên Docker Hub:
oasm/oasm-apivà các image liên quan.
7. Thông tin thêm
| Thông tin | Chi tiết |
|---|---|
| Website | https://oasm.dev |
| Documentation | https://docs.oasm.dev |
| Giấy phép | GPL-3.0 |
| Phiên bản mới nhất | v0.5.0 |
| Số lượng releases | 19 |
| Topics | hacking, cybersecurity, recon, pentest, ai-agents, pentest-tool, security, easm, attack-surface-management, oasm, open-asm |
| CI/CD | GitHub Actions (build-nightly, build-release, build-unstable với Trivy security scanning) |
| Docker Hub | https://hub.docker.com/u/oasm |
Source link: oasm-platform/open-asm
