1. 工具概述
CVE Binary Tool 是一个免费的开源工具,可帮助您使用国家漏洞数据库(NVD)常见漏洞和暴露(CVE)列表中的数据以及Redhat、开源漏洞数据库(OSV)、Gitlab咨询数据库(GAD)和Curl中的已知漏洞数据来查找软件中的已知脆弱性。该工具有两种主要操作模式:
- 二进制扫描程序:可帮助您确定哪些包可能已作为软件的一部分包含在内。该程序包括 360 检查器,扫描程序主要适用于常见的、易受攻击的开源组件,如openssl、libpng、libxml2和expat。
- 组件列表扫描程序:用于扫描各种格式的已知组件列表,包括.csv、几种linux分发包列表、特定语言的包扫描仪以及几种软件物料清单(SBOM)格式。
它旨在用作您的持续集成系统的一部分,以实现定期漏洞扫描,并为您的供应链中的已知问题提供预警。它还可以用于自动检测组件和创建SBOM。CVE Binary Tool 的工作流程图如下所示:
下载 CVE 数据:CVE 数据来自 NVD、Redhat、OSV、Gitlab 以及 Curl。默认情况下,这每天发生一次,而不是每次运行扫描;首次运行时,下载所有数据可能需要一些时间。
创建/读取组件列表:使用二进制检查器和语言组件列表(如python的requirements.txt)的组合创建组件列表(包括版本);阅读 SBOM(使用标准化软件物料清单格式的现有组件列表。)
创建 CVE 列表:这将查找从现有物料清单中找到或读取的所有组件,并报告与之相关的任何已知问题。
CVE 评估:根据已有的知识对 CVE 的严重程度进行评估。
生成报告:以一种或多种格式(控制台、json、csv、html、pdf)生成报告。
2. 工具使用
2.1 安装 CVE Binary Tool
通过 pip 实现 CVE Binary Tool 的安装,代码如下所示:
pip install cve-bin-tool首次使用时(默认情况下,每天一次),该工具将从一组已知的漏洞数据源下载漏洞数据。由于NVD的可靠性问题,从3.3版本开始,我们将在https://cveb.in/默认情况下,而不是直接联系NVD。如果您希望直接从NVD服务器获取数据,则必须提供自己的NVD_API_KEY才能使用其API。
2.2 CVE Binary Tool 使用方式
使用二进制扫描程序查找已知漏洞:要在目录或文件上运行二进制扫描程序,请执行以下操作
cve-bin-tool <directory/file>默认情况下,该工具假设您正在尝试扫描整个目录,但如果您为其提供一个列出依赖关系的.csv或.json文件,它将把它视为物料清单。您还可以直接使用--input-file选项指定物料清单文件,或按照以下说明扫描SBOM。
扫描SBOM文件以查找已知漏洞:要扫描软件物料清单文件(SBOM),请执行以下操作
cve-bin-tool --sbom <sbom_filetype> --sbom-file <sbom_filename>有效的 sbom_filetype 包括 SPDX、CycloneDX 以及 SWID。扫描 SBOM 文件中的产品名称不区分大小写。SBOM 扫描操作指南提供了其他 SBOM 扫描示例。
生成 SBOM:除了扫描SBOM外,CVE Binary Tool 还可以用于从扫描中生成 SBOM,如下所示
cve-bin-tool --sbom-type <sbom_type> --sbom-format <sbom-format> --sbom-output <sbom_filename> <other scan options as required>
有效的 sbom_type 包括 SPDX 和 CycloneDX,生成的 SBOM 将包括产品名称、版本以及供应商,未提供许可证信息。SBOM 生成指南提供了其他SBOM生成示例。
生成 VEX:除了扫描VEX,CVE二进制工具还可以用于从扫描中生成VEX,如下所示:
cve-bin-tool --vex-type <vex_type> --vex-output <vex_filename> <other scan options as required>
有效的 vex_type 是CSAF、CycloneDX和OpenVEX。VEX 生成指南提供了其他VEX生成示例。
漏洞分类:--triage-input-file 选项可用于在扫描目录时添加额外的分类数据,如备注、评论等,以便输出反映此分类数据,从而节省重新分类的时间(用法:cve bin tool--trianges-input-filetest.vex/path/to/scan)。支持的格式是 CycloneDX VEX 格式,可以使用 --VEX 选项生成。常见的使用方式包括:
- 通过 cve-bin-tool /path/to/scan --vex triage.vex 指令生成 triage 文件
- 使用您最喜欢的文本编辑器编辑 triage.vex,以提供所列漏洞的分类信息。
- 通过 cve-bin-tool /path/to/scan --triage-input-file triage.vex 指令使用 triage 文件作为新的扫描依据。
应该可以在不同运行的 cve-bin-tool 之间或与支持 CycloneDX VEX 格式的其他工具共享 triage 数据。这对于扫描相关产品或容器的团队、出于合规原因需要使用多种工具的团队、拥有提供漏洞分类指导的中央安全策略组的公司等尤其有用。
离线使用:在运行扫描时指定 --offline 选项可确保 cve-bin-tool 不会尝试下载最新的数据库文件或检查该工具的更新版本。
请注意,在工具可以脱机模式运行之前,您需要获取漏洞数据的副本。离线操作指南包含有关如何设置数据库的更多信息。
在 GitHub Action 中使用 cve-bin-tool:如果你想将 cve-bin-tool 工具集成为 github 操作管道的一部分,你可以使用 cve-bin-tool 的官方github action。在此处查找更多详细信息。GitHub Action在安全选项卡上提供报告,该选项卡可供开源项目以及为该访问付费的GitHub客户使用。
如果您希望直接使用该工具,我们还提供了一个GitHub操作示例。对于希望将报告存储在证据柜中的团队或无法访问GitHub安全选项卡的团队来说,这可能是一个不错的选择。
输出选项:cve-bin-tool 默认提供基于控制台的输出。如果要提供另一种格式,可以使用 --format在命令行上指定此格式和文件名。有效格式为 CSV、JSON、console、HTML 以及 PDF。可以使用 --output file 标志指定输出文件名。您还可以使用逗号(',')作为分隔符指定多种输出格式:
cve-bin-tool file -f csv,json,html -o report通过指定 --VEX 命令行选项,还可以以漏洞交换(VEX)格式报告报告报告的漏洞。然后,生成的VEX文件可以用作 --triange 输入文件,以支持 triange 过程。
如果您希望使用PDF支持,则需要单独安装reportlab库。如果您打算在安装 cve-bin-tool 时使用PDF支持,您可以指定它,并且 report-lab 将作为 cve bin 工具安装的一部分安装:
pip install cve-bin-tool[PDF]
如果你已经安装了cve-bin-tool,你可以在事后使用 pip 添加 reportlab:
pip install --upgrade reportlab
请注意,reportlab 已从默认的 cve-bin-tool 安装中删除,因为它有一个已知的cve关联(cve-2020-28463)。cve-bin-tool 代码使用推荐的缓解措施来限制添加到PDF的资源,以及额外的输入验证。这有点奇怪,因为它描述了PDF的核心功能:外部项目,如图像,可以嵌入其中,因此任何查看PDF的人都可以加载外部图像(类似于查看网页如何触发外部加载)。对此没有固有的“修复”,只有缓解措施,库的用户必须确保在生成时只将预期的项目添加到PDF中。
由于用户可能不希望安装带有开放的、不可修复的CVE的软件,我们选择仅对自己安装了库的用户提供PDF支持。安装库后,PDF报告选项将起作用。
3. 工具配置
您可以使用--config选项为工具提供配置文件。您仍然可以使用命令行参数覆盖配置文件中指定的选项。
