agent-bom-scan — AI供应链漏洞扫描器

检查软件包的CVE漏洞，原生扫描容器镜像，通过Sigstore验证软件包来源，扫描文件系统，并生成SBOM。

安装

bash
pipx install agent-bom
agent-bom agents # 发现代理并扫描依赖项
agent-bom check langchain==0.1.0 # 检查指定版本的软件包
agent-bom image nginx:1.25 # 扫描容器镜像（原生）
agent-bom fs . # 扫描文件系统软件包
agent-bom sbom . # 生成SBOM
agent-bom verify agent-bom # 验证Sigstore来源
agent-bom where # 显示所有发现路径

作为MCP服务器

json
{
mcpServers: {
agent-bom: {
command: uvx,
args: [agent-bom, mcp, server]
}
}
}

使用场景

• - 检查软件包 / 这个软件包安全吗
• 扫描镜像 / 扫描容器
• 验证 / 检查来源
• 这个安全吗 / CVE查询
• 扫描依赖项
• 影响范围
• 生成SBOM

工具（8个）

工具	描述
check	检查软件包的CVE漏洞（OSV、NVD、EPSS、KEV）
scan

完整发现 + 漏洞扫描流水线 | | blast_radius | 映射跨代理、服务器、凭据的CVE影响链 | | remediate | 漏洞的优先级修复方案 | | verify | 软件包完整性 + SLSA来源检查 | | diff | 比较两份扫描报告（新增/已解决/持续存在） | | where | 显示MCP客户端配置发现路径 | | inventory | 列出已发现的代理、服务器、软件包 |

示例

安装前检查软件包

check(package=langchain, version=0.1.0, ecosystem=pypi)

映射CVE的影响范围

blastradius(cveid=CVE-2024-21538)

完整扫描

scan()

验证软件包来源

verify(package=agent-bom)

安全护栏

• - 即使NVD分析待定或严重性为unknown，也要显示CVE——CVE ID仍然是真实的发现。
• 将UNKNOWN严重性视为未解决，而非良性——这意味着数据尚不可用。
• 不修改任何文件、安装软件包或更改系统配置。
• 只有公开的软件包名称和CVE ID会离开机器进行漏洞数据库查询。
• 扫描用户主目录之外的路径前需征得同意。

隐私与数据处理

bash

步骤1：安装

pip install agent-bom

步骤2：在扫描前审查脱敏逻辑

sanitizeenvvars() 在任何配置数据处理或存储之前，

将所有环境变量值替换为 REDACTED：

https://github.com/msaad00/agent-bom/blob/main/src/agent_bom/security.py#L159

步骤3：验证软件包来源（Sigstore）

agent-bom verify agent-bom

步骤4：然后才运行扫描

agent-bom agents

验证

• - 源码: github.com/msaad00/agent-bom (Apache-2.0)
• Sigstore签名: agent-bom verify agent-bom@0.76.4
• 7,100+测试 使用CodeQL + OpenSSF评分卡
• 无遥测: 零追踪，零分析