Faraday: nền tảng quản lý lỗ hổng mã nguồn mở dành cho red team

Summary post

Faraday là 'IDE cho pentester' — open-source, GPL-3.0, gom output từ 80+ scanner (Nmap, Burp, Nessus, ZAP, Metasploit...) vào một workspace duy nhất, dedupe và cho cả team cùng làm việc real-time. 6.4k sao GitHub, v5.20.0 vừa ra ngày 10/04/2026.

7phút đọc

8mục nội dung

6chủ đề

TL;DR

Mỗi pentest hay engagement red team đều đẻ ra một mớ output từ Nmap, Burp, Nessus, ZAP, Metasploit... mỗi tool một format, trùng lặp, và team thì copy-paste qua Notion để chia việc. Faraday (github.com/infobyte/faraday) giải quyết đúng pain point này: một platform mã nguồn mở, GPL-3.0, gom 80+ scanner vào một workspace, tự dedupe finding, cho nhiều operator cùng làm việc real-time, và đẩy thẳng vulnerability sang Jira / ServiceNow / GitLab. Bản Community miễn phí trọn đời, self-hosted bằng Docker Compose. Repo đang có 6.4k sao, v5.20.0 phát hành 10/04/2026.

Faraday dashboard với widget vulnerabilities by severity, top hosts và activity feed

Faraday là gì

Faraday do Infobyte (Argentina) phát triển từ 2010, định vị là "IDE cho pentester" — không phải scanner, không phải dashboard quản trị, mà là tầng orchestration + collaboration nằm giữa hàng chục scanner và team đang chạy engagement.

Workflow điển hình:

Operator A chạy nmap trên subnet, output đẩy vào Faraday qua faraday-cli.
Operator B đồng thời chạy Burp + ZAP trên một số host trọng tâm, kết quả import qua web UI hoặc REST API.
Faraday dedupe các finding trùng (cùng host + cùng CVE + cùng port) và group theo severity, host, hoặc service.
Manager mở dashboard, thấy ngay 5 host nguy hiểm nhất, vulnerability theo trạng thái, và route vuln cao thẳng sang Jira.

Tại sao đáng để ý

Trong landscape vulnerability management 2026, Faraday lấp một khoảng trống cụ thể: active engagement. Đa số platform OSS như DefectDojo, Dependency-Track tối ưu cho lifecycle blue team — SLA, compliance, executive report. Faraday ngược lại tối ưu cho khoảnh khắc đang chạy pentest: nhiều người, nhiều tool, deadline ngắn, dedupe phải tự động.

Hệ quả: nhiều tổ chức 2026 không chọn giữa Faraday và DefectDojo nữa — họ chain: Faraday cho red team trong tuần engagement, sau đó export finding sạch sang DefectDojo cho remediation lifecycle.

Kỹ thuật nói gì

Thuộc tính	Giá trị
License	GPL-3.0 (Community Edition)
Latest version	v5.20.0 (10/04/2026)
GitHub stars / forks	6.4k / 1k
Releases shipped	104
Codebase	97.4% Python
Tools tích hợp	80+ (Nmap, Nessus, OpenVAS, Burp, ZAP, Metasploit, Nuclei, Masscan, Bandit, SonarQube, Semgrep...)
Stack	Faraday Server + PostgreSQL + Redis + workers
Yêu cầu	Docker Engine 20.10+, Docker Compose v2

Cài bằng Docker Compose:

wget https://raw.githubusercontent.com/infobyte/faraday/master/docker-compose.yaml
docker-compose up -d

Hoặc PyPI:

pip3 install faradaysec
faraday-manage initdb
faraday-server

Faraday vulnerability management UI với danh sách lỗ hổng, severity và menu thao tác

So với DefectDojo & OpenVAS

Tiêu chí	Faraday CE	DefectDojo CE	OpenVAS
User chính	Pentester / red team	AppSec / blue team	Network admin
Vai trò	Engagement IDE + aggregator	Lifecycle UVM (SLA, compliance)	Vulnerability scanner
Tool tích hợp	80+	200+	n/a (chính nó là scanner)
Collaboration	Multi-user real time	Workflow nhiều team	UI single-user
Điểm mạnh	Active engagement, dedupe pentest output	Remediation lifecycle, exec reporting	Authenticated network scan sâu

Use case thực tế

Red team / pentest engagement: gom Nmap + Burp + Nessus + Metasploit của nhiều operator vào một workspace, dedupe, debrief cuối ngày trên cùng dashboard.
MSSP: quản lý nhiều workspace khách hàng từ một instance, cô lập dữ liệu theo workspace.
CI/CD security gate: faraday-cli đẩy kết quả Semgrep / Bandit / ZAP từ pipeline vào Faraday, fail build khi xuất hiện high-severity mới.
Continuous scanning: Agents Dispatcher chạy scheduled scan trên DMZ / chi nhánh xa và stream kết quả về central, không cần VPN.
Ticket routing: tự tạo Jira / ServiceNow / GitLab issue từ vulnerability đã triage.

Hạn chế & pricing

Community Edition (free): đầy đủ core platform, tích hợp, CLI, agents — nhưng không có RBAC built-in, không SSO, report cơ bản.

Professional / Corporate (trả phí, sales-quoted): RBAC, SSO/SAML, scheduled executive report, advanced workflow, SLA tracking, priority support.

Điểm cần cân nhắc:

Operational overhead: phải tự host Postgres + Redis + worker. Không có cloud SaaS cho bản free.
Learning curve: UI thiên về engagement, không trực quan như dashboard kiểu DefectDojo cho người không phải pentester.
Skew offense-first: nếu bạn cần enterprise AppSec lifecycle (SLA, compliance frameworks, exec dashboard) thì DefectDojo hoặc commercial ASPM hợp hơn.

What's next

Cadence release của Faraday đang ở mức gần như hàng tháng (104 release tới nay). Hướng phát triển 2026 nhấn vào: tích hợp CI/CD sâu hơn, mở rộng marketplace agents, và tinh chỉnh cầu nối sang DefectDojo / commercial UVM. Với một dự án đã 15 năm, ổn định, GPL-3.0 và có công ty đứng sau trợ sức bằng doanh thu Pro/Corporate, Faraday là lựa chọn hiếm hoi vừa free vừa không bị bỏ rơi.

Nguồn: github.com/infobyte/faraday, Faraday docs, DefectDojo vs Faraday 2026, AppSec Santa Faraday Review.