deepseek+dify工作流实现代码审计

一、登录dify，设置deepseek apikey

登录dify（https://cloud.dify.ai/signin）

图片

设置deepseek apikey

图片

图片

二、创建dify工作流

添加工作流应用

图片

图片

图片

写工作流

图片

图片

图片

图片

图片

三、添加待检测源代码，审计源代码安全问题

修改待检测源代码项目的文件名后缀

图片

点击运行

图片

添加文件列表到工作流中

图片

图片

四、与传统检测方式对比

测试Bandit Python代码审计漏洞检测工具实战中的python漏洞项目结果如下

图片

传统python代码审计结果如下，对比起来测试结果还是差不多的，可能deepseek测试的问题要多一些，有一些估计是误报。最好是传统跟deepseek配合一起测试，修正检测结果。

图片

五、deepseek其他应用

deepseek的其他安全尝试应用：比如将扫描器扫出的结果端口、服务、服务名称、版本、中间件名称、版本等传给deepseek，让他提供可利用的渗透测试方法

总结

这次测试的提示词为“你是一个安全专家严格分析中的代码，检查其中是否存在安全漏洞，请详细分析” 当然这个提示词还是比较泛的，可以自己修改增加检测要求，检测结果输出格式，修复建议等。

需要检测样本可以在公众号回复"difyworkflow"获取带有漏洞的测试项目，包括python、php等语言多个测试项目还有测试的工作流。