CVE Scanner - 开源漏洞分析技能

概述

CVE Scanner 是一款用于分析开源软件安全漏洞（CVE）并生成报告的工具。

使用方法

单个包分析

bash

基本用法

cve-scanner 包名 版本

示例

cve-scanner log4j-core 2.14.0 cve-scanner openssl 1.1.1k --severity HIGH,CRITICAL cve-scanner spring-framework 5.3.18 --output excel

文件分析

bash

分析依赖文件

cve-scanner --file package.json
cve-scanner --file requirements.txt --output json
cve-scanner --file pom.xml --severity CRITICAL,HIGH

选项

选项	说明	默认值
--severity	严重级别过滤 (CRITICAL,HIGH,MEDIUM,LOW)	全部
--output

输出格式 (markdown, excel, json, csv) | markdown | | --ecosystem | 指定生态系统 (npm, pypi, maven, golang 等) | 自动检测 | | --file | 依赖文件路径 | - | | --quiet, -q | 抑制警告信息 (推荐用于 JSON 输出) | - | | --no-cache | 不使用缓存 | - | | --max-retries | API 调用重试次数 | 3 | | --nvd-key | NVD API 密钥 (提高速率限制) | - | | --github-token | GitHub 令牌 (提高速率限制) | - |

支持的文件格式

• - package.json / package-lock.json (npm)
• requirements.txt / Pipfile.lock (PyPI)
• pom.xml / build.gradle (Maven)
• go.mod / go.sum (Go)
• Cargo.lock (Rust)
• composer.lock (PHP)
• Gemfile.lock (Ruby)

数据源

1. 1. NVD (NIST) - 美国国家漏洞数据库
2. OSV.dev (Google) - 开源专用漏洞数据库
3. GitHub Advisory - GitHub 安全公告

输出示例

Markdown

markdown

CVE Scanner 漏洞分析报告

📦 log4j-core

项目	内容
当前版本	2.14.0
最新版本

2.23.1 | | 发现 CVE 数量 | 3 个 |

漏洞列表

CVE ID	严重级别	CVSS	描述
CVE-2021-44228	🔴 CRITICAL	10.0	Log4Shell

API 密钥设置（可选）

bash

NVD API 密钥 (提高速率限制)

export NVDAPIKEY=your-api-key

GitHub 令牌 (提高速率限制)

export GITHUB_TOKEN=your-token

依赖要求

bash
pip install -r requirements.txt

准确度验证管道（1000 个测试用例）

CVE Scanner 包含一个大规模测试管道，用于验证准确度（精确率/召回率/F1 分数）。

运行管道

bash
cd scripts
python3 runaccuracypipeline.py [--skip-existing] [--fp-verify-sample N]

4 步管道

步骤	脚本	说明	耗时
1	generatetestcases1000.py	生成约 1000 个测试用例	约 2 秒
2

scan1000testcases.py | 使用 CVEScanner 批量扫描 | 约 20 分钟* | | 3 | buildgroundtruth.py | 基于 OSV/NVD 构建 Ground Truth | 约 5 分钟 | | 4 | verifyaccuracy1000.py | FP 二次验证 + 准确度计算 | 约 10 分钟 |

*如有 NVD API 密钥

单独步骤执行

bash

生成测试用例

python3 scripts/generatetestcases_1000.py

CVE 扫描

python3 scripts/scan1000test_cases.py \ --test-cases /tmp/cvetestcases/testcases1000.json \ --output-dir /tmp/cvetestresults

构建 Ground Truth

python3 scripts/buildgroundtruth.py \ --test-cases /tmp/cvetestcases/testcases1000.json \ --output-dir /tmp/cvegroundtruth

验证准确度

python3 scripts/verifyaccuracy1000.py \ --scan-results /tmp/cvetestresults/scanresults1000.json \ --ground-truth /tmp/cvegroundtruth/groundtruth1000.json \ --output-dir /tmp/cve_accuracy

准确度验证方法

• - Ground Truth: OSV API（包生态系统）+ NVD CPE（独立软件）
• FP 二次验证: NVD 直接查询 + Brave Search 抽查
• 指标: 精确率、召回率、F1 分数、按生态系统分类表

结果文件

/tmp/cveaccuracy/accuracyreport_1000.json # 最终准确度报告
/tmp/cvegroundtruth/groundtruth1000.json # Ground Truth 数据
/tmp/cvetestresults/scanresults1000.json # 扫描结果

注意事项

• - 存在 API 速率限制，批量查询可能需要较长时间
• 部分包可能需要指定生态系统
• 建议使用 SemVer 版本格式
• 运行准确度验证管道时建议使用 NVD API 密钥（提高速度）