wordpress企业站主题,网上商城下载,购物网站建设策划报告,一锅汤资源分享网站建设大全1. 工具概述
CVE Binary Tool 是一个免费的开源工具#xff0c;可帮助您使用国家漏洞数据库#xff08;NVD#xff09;常见漏洞和暴露#xff08;CVE#xff09;列表中的数据以及Redhat、开源漏洞数据库#xff08;OSV#xff09;、Gitlab咨询数据库#xff08;GAD可帮助您使用国家漏洞数据库NVD常见漏洞和暴露CVE列表中的数据以及Redhat、开源漏洞数据库OSV、Gitlab咨询数据库GAD和Curl中的已知漏洞数据来查找软件中的已知脆弱性。该工具有两种主要操作模式
二进制扫描程序可帮助您确定哪些包可能已作为软件的一部分包含在内。该程序包括 360 检查器扫描程序主要适用于常见的、易受攻击的开源组件如openssl、libpng、libxml2和expat。组件列表扫描程序用于扫描各种格式的已知组件列表包括.csv、几种linux分发包列表、特定语言的包扫描仪以及几种软件物料清单SBOM格式。
它旨在用作您的持续集成系统的一部分以实现定期漏洞扫描并为您的供应链中的已知问题提供预警。它还可以用于自动检测组件和创建SBOM。CVE Binary Tool 的工作流程图如下所示 下载 CVE 数据CVE 数据来自 NVD、Redhat、OSV、Gitlab 以及 Curl。默认情况下这每天发生一次而不是每次运行扫描首次运行时下载所有数据可能需要一些时间。
创建/读取组件列表使用二进制检查器和语言组件列表如python的requirements.txt的组合创建组件列表包括版本阅读 SBOM使用标准化软件物料清单格式的现有组件列表。
创建 CVE 列表这将查找从现有物料清单中找到或读取的所有组件并报告与之相关的任何已知问题。
CVE 评估根据已有的知识对 CVE 的严重程度进行评估。
生成报告以一种或多种格式控制台、json、csv、html、pdf生成报告。
2. 工具使用
2.1 安装 CVE Binary Tool
通过 pip 实现 CVE Binary Tool 的安装代码如下所示
pip install cve-bin-tool
首次使用时默认情况下每天一次该工具将从一组已知的漏洞数据源下载漏洞数据。由于NVD的可靠性问题从3.3版本开始我们将在https://cveb.in/默认情况下而不是直接联系NVD。如果您希望直接从NVD服务器获取数据则必须提供自己的NVD_API_KEY才能使用其API。
2.2 CVE Binary Tool 使用方式
使用二进制扫描程序查找已知漏洞要在目录或文件上运行二进制扫描程序请执行以下操作
cve-bin-tool directory/file
默认情况下该工具假设您正在尝试扫描整个目录但如果您为其提供一个列出依赖关系的.csv或.json文件它将把它视为物料清单。您还可以直接使用--input-file选项指定物料清单文件或按照以下说明扫描SBOM。
扫描SBOM文件以查找已知漏洞要扫描软件物料清单文件SBOM请执行以下操作
cve-bin-tool --sbom sbom_filetype --sbom-file sbom_filename
有效的 sbom_filetype 包括 SPDX、CycloneDX 以及 SWID。扫描 SBOM 文件中的产品名称不区分大小写。SBOM 扫描操作指南提供了其他 SBOM 扫描示例。
生成 SBOM除了扫描SBOM外CVE Binary Tool 还可以用于从扫描中生成 SBOM如下所示
cve-bin-tool --sbom-type sbom_type --sbom-format sbom-format --sbom-output sbom_filename other scan options as required有效的 sbom_type 包括 SPDX 和 CycloneDX生成的 SBOM 将包括产品名称、版本以及供应商未提供许可证信息。SBOM 生成指南提供了其他SBOM生成示例。
生成 VEX除了扫描VEXCVE二进制工具还可以用于从扫描中生成VEX如下所示
cve-bin-tool --vex-type vex_type --vex-output vex_filename other scan options as required有效的 vex_type 是CSAF、CycloneDX和OpenVEX。VEX 生成指南提供了其他VEX生成示例。
漏洞分类--triage-input-file 选项可用于在扫描目录时添加额外的分类数据如备注、评论等以便输出反映此分类数据从而节省重新分类的时间用法cve bin tool--trianges-input-filetest.vex/path/to/scan。支持的格式是 CycloneDX VEX 格式可以使用 --VEX 选项生成。常见的使用方式包括
通过 cve-bin-tool /path/to/scan --vex triage.vex 指令生成 triage 文件使用您最喜欢的文本编辑器编辑 triage.vex以提供所列漏洞的分类信息。通过 cve-bin-tool /path/to/scan --triage-input-file triage.vex 指令使用 triage 文件作为新的扫描依据。
应该可以在不同运行的 cve-bin-tool 之间或与支持 CycloneDX VEX 格式的其他工具共享 triage 数据。这对于扫描相关产品或容器的团队、出于合规原因需要使用多种工具的团队、拥有提供漏洞分类指导的中央安全策略组的公司等尤其有用。
离线使用在运行扫描时指定 --offline 选项可确保 cve-bin-tool 不会尝试下载最新的数据库文件或检查该工具的更新版本。
请注意在工具可以脱机模式运行之前您需要获取漏洞数据的副本。离线操作指南包含有关如何设置数据库的更多信息。
在 GitHub Action 中使用 cve-bin-tool如果你想将 cve-bin-tool 工具集成为 github 操作管道的一部分你可以使用 cve-bin-tool 的官方github action。在此处查找更多详细信息。GitHub Action在安全选项卡上提供报告该选项卡可供开源项目以及为该访问付费的GitHub客户使用。
如果您希望直接使用该工具我们还提供了一个GitHub操作示例。对于希望将报告存储在证据柜中的团队或无法访问GitHub安全选项卡的团队来说这可能是一个不错的选择。
输出选项cve-bin-tool 默认提供基于控制台的输出。如果要提供另一种格式可以使用 --format在命令行上指定此格式和文件名。有效格式为 CSV、JSON、console、HTML 以及 PDF。可以使用 --output file 标志指定输出文件名。您还可以使用逗号作为分隔符指定多种输出格式
cve-bin-tool file -f csv,json,html -o report
通过指定 --VEX 命令行选项还可以以漏洞交换VEX格式报告报告报告的漏洞。然后生成的VEX文件可以用作 --triange 输入文件以支持 triange 过程。
如果您希望使用PDF支持则需要单独安装reportlab库。如果您打算在安装 cve-bin-tool 时使用PDF支持您可以指定它并且 report-lab 将作为 cve bin 工具安装的一部分安装
pip install cve-bin-tool[PDF]如果你已经安装了cve-bin-tool你可以在事后使用 pip 添加 reportlab
pip install --upgrade reportlab请注意reportlab 已从默认的 cve-bin-tool 安装中删除因为它有一个已知的cve关联cve-2020-28463。cve-bin-tool 代码使用推荐的缓解措施来限制添加到PDF的资源以及额外的输入验证。这有点奇怪因为它描述了PDF的核心功能外部项目如图像可以嵌入其中因此任何查看PDF的人都可以加载外部图像类似于查看网页如何触发外部加载。对此没有固有的“修复”只有缓解措施库的用户必须确保在生成时只将预期的项目添加到PDF中。
由于用户可能不希望安装带有开放的、不可修复的CVE的软件我们选择仅对自己安装了库的用户提供PDF支持。安装库后PDF报告选项将起作用。
3. 工具配置
您可以使用--config选项为工具提供配置文件。您仍然可以使用命令行参数覆盖配置文件中指定的选项。
