关于VulnerableCode
VulnerableCode是一个免费的开放FOSS软件包漏洞数据库,并且还包含了能够创建并跟踪当前数据的相关工具。在该工具的帮助下,广大研究人员能够查看受漏洞影响的代码包,并实现漏洞的聚合、关联和管理。
FOSS,即Free and Open Source Software,这是联合国教科文组织启用的一个官方术语。“FOSS产业”是有新意的,严格讲来,它不完全等同于“开源产业”。FOSS把现代软件业带入一个全新阶段。“FOSS”的中译文是“自由及开源软件”。
VulnerableCode是FOSS社区开发的一款工具,它能够提升开源软件生态系统的安全性。
运行机制
VulnerableCode独立地聚合了许多软件漏洞数据源,并以去中心化的方式支持数据重新创建。这些数据源包括Linux和BSD发行版发布的安全建议、应用程序软件包管理器和包存储库、FOSS项目、GitHub等等。由于这种方法,数据集中在特定的生态系统上,但在单个数据库中进行聚合,从而能够查询代码包之间更丰富的关系图。特定性提高了数据的准确性和有效性,因为跨不同生态系统的同一版本上游数据包可能会或可能不会受到同一漏洞的影响。
工具使用了Package URL PURL来作为主要标识符,而没有使用CPE。VulnerableCode对数据的主要访问是通过REST API进行的。
此外,工具还提供了一个高级的Web界面来帮助用户更好地浏览和搜索漏洞数据库,并通过添加新的包和漏洞逐步实现数据的社区管理,以及审查和更新它们的关系。
工具安装&配置
我们需要使用下列命令将该项目源码克隆至本地:
git clone https://github.com/nexB/vulnerablecode.git cd vulnerablecode
使用Docker Compose
安装VulnerableCode最简单的方法就是使用Docker容器和Docker Compose。安装好Docker引擎和Docker Compose之后,我们就可以使用下列命令来启动VulnerableCode了:
sudo docker-compose up
接下来,通过下列地址即可访问VulnerableCode:
http://localhost:8000/ http://127.0.0.1:8000/
别忘了运行虾类命令来在每一次git pull之后同步你的实例:
sudo docker-compose up -d --no-deps --build web
然后,我们可以使用下列命令来访问VulnerableCode容器,这里我们可以访问manage.py,并运行管理命令来导入数据:
sudo docker-compose exec web bash
本地安装
系统要求:
Python 3.8+
PostgreSQL 9+
针对Python和PostgreSQL的编译工具链和开发文件
在基于Debian的发行版系统上,可以使用下列下列命令安装和配置VulnerableCode:
sudo apt-get install python3-venv python3-dev postgresql libpq-dev build-essential sudo -u postgres createuser --no-createrole --no-superuser --login \ --inherit --createdb --pwprompt vulnerablecode`` createdb --encoding=utf-8 --owner=vulnerablecode --user=vulnerablecode \ --password --host=localhost --port=5432 vulnerablecode python3 -m venv venv source venv/bin/activate pip install -r requirements.txt DJANGO_DEV=1 python manage.py collectstatic DJANGO_DEV=1 python manage.py migrate
运行测试
下列命令可以运行代码风格检测和测试用例:
black -l 100 --check . DJANGO_DEV=1 python -m pytest
数据导入
某些数据导入工具使用了GitHub API,首先我们需要使用下列命令导出GH_TOKEN环境变量:
export GH_TOKEN=yourgithubtoken
运行所有的数据导入器:
DJANGO_DEV=1 python manage.py import --all
枚举所有可用的导入器:
DJANGO_DEV=1 python manage.py import --list
运行指定导入器:
DJANGO_DEV=1 python manage.py import rust npm
REST API访问
开启Web服务器:
DJANGO_DEV=1 python manage.py runserver
获取关于API节点的完整文档:
http://127.0.0.1:8000/api/docs
连续定期数据导入
如果你想要持续定期导入数据,你可以使用一个系统定时器:
$ cat ~/.config/systemd/user/vulnerablecode.service [Unit] Description=Update vulnerability database [Service] Type=oneshot Environment="DJANGO_DEV=1" ExecStart=/path/to/venv/bin/python /path/to/vulnerablecode/manage.py import --all $ cat ~/.config/systemd/user/vulnerablecode.timer [Unit] Description=Periodically update vulnerability database [Timer] OnCalendar=daily [Install] WantedBy=multi-user.target
配置好之后,你就可以使用下列命令来开启这个定时器:
systemctl --user daemon-reload systemctl --user start vulnerablecode.timer
项目地址
VulnerableCode:https://github.com/nexB/vulnerablecode
参考资料
https://nvd.nist.gov/products/cpe
https://github.com/nexB/vulnerablecode/blob/main/SOURCES.rst
https://github.com/package-url/purl-spec
https://github.com/nexB/vulnerablecode/blob/main/docs/Why-Is-There-No-Free-Software-Vulnerability-Database-v1.0.pdf
https://docs.docker.com/get-docker/
https://docs.docker.com/compose/install/#install-compose
https://nixos.org/download.html
https://github.com/DavHau/mach-nix
https://github.com/DavHau/pypi-deps-db
https://docs.github.com/en/free-pro-team@latest/github/authenticating-to-github/creating-a-personal-access-token
转载请注明来自网盾网络安全培训,本文标题:《如何使用VulnerableCode查看受漏洞影响的FOSS软件代码包》