开源漏洞数据库有哪些可用

wen 开源项目 2

本文目录导读:

开源漏洞数据库有哪些可用

  1. 综合型漏洞数据库(涵盖所有软件生态)
  2. 开源项目专用漏洞数据库(GitHub/GitLab等生态)
  3. 软件包管理器/生态专属漏洞库
  4. Linux/系统级漏洞数据库
  5. 国内镜像与中文支持
  6. API与自动化集成建议

综合型漏洞数据库(涵盖所有软件生态)

  1. NVD (National Vulnerability Database)

    • 地址: [https://nvd.nist.gov/](https://nvd.nist.gov/)
    • 特点: 美国国家漏洞数据库,全球最权威的漏洞库,所有CVE(通用漏洞披露)编号的官方信息源,包含CVSS(通用漏洞评分系统)评分、影响评估等技术细节。
    • 适用: 安全研究、企业级威胁情报分析、合规审计。
  2. CVE (Common Vulnerabilities and Exposures)

    • 地址: [https://cve.mitre.org/](https://cve.mitre.org/) 或 [https://www.cve.org/](https://www.cve.org/)
    • 特点: 漏洞编号的官方字典,MITRE(美国非营利安全组织)维护,收录所有公开漏洞的标准化ID和简要描述。
    • 适用: 漏洞跟踪、跨平台漏洞检索、漏洞管理工具集成。

开源项目专用漏洞数据库(GitHub/GitLab等生态)

  1. GitHub Advisory Database

    • 地址: [https://github.com/advisories](https://github.com/advisories)
    • 特点: GitHub官方维护的开源项目漏洞库,收录了GitHub上公开仓库的漏洞,包含依赖树分析、修复版本建议,数据会同步到NVD。
    • 适用: 使用GitHub进行代码管理的团队、Dependabot(GitHub依赖扫描工具)自动告警。
  2. OSS-Fuzz

    • 地址: [https://bugs.chromium.org/p/oss-fuzz/](https://bugs.chromium.org/p/oss-fuzz/) 及辅助查询工具 [https://oss-fuzz.com/](https://oss-fuzz.com/)
    • 特点: Google维护的模糊测试平台,专门发现开源软件中的内存安全漏洞,漏洞页面直接链接到CVE及修复commit(代码提交)。
    • 适用: C/C++/Go/Rust等底层开发项目、希望提前发现0day漏洞的团队。
  3. OpenCVE

    • 地址: [https://www.opencve.io/](https://www.opencve.io/)
    • 特点: 聚合NVD、Red Hat、Ubuntu等多源数据的开源工具,支持按CWE(通用弱点枚举)、CVSS(通用漏洞评分系统)评分、厂商自定义筛选。
    • 适用: 安全运营团队定制化漏洞监控、自动化预警。

软件包管理器/生态专属漏洞库

  1. Pyup.io Safety DB

    • 地址: [https://github.com/pyupio/safety-db](https://github.com/pyupio/safety-db)
    • 特点: Python生态的漏洞数据库,专为pip包检测设计,数据持续更新,包含Python具体版本号的受影响范围。
    • 适用: Python开发者、使用Snyk/Pyup的CI/CD(持续集成/持续部署)流程。
  2. Ruby Advisory Database

    • 地址: [https://github.com/rubysec/ruby-advisory-db](https://github.com/rubysec/ruby-advisory-db)
    • 特点: Ruby社区的官方漏洞库,收录Ruby on Rails、Gem包等漏洞。
    • 适用: Ruby/Rails应用安全审计。
  3. FriendsOfPHP Security Advisories

    • 地址: [https://github.com/FriendsOfPHP/security-advisories](https://github.com/FriendsOfPHP/security-advisories)
    • 特点: PHP生态的漏洞列表,涵盖Composer依赖、Laravel、Symfony等主流框架。
    • 适用: PHP开发者、composer audit(Composer依赖审计)命令的数据源。

Linux/系统级漏洞数据库

  1. Red Hat CVE Database

    • 地址: [https://access.redhat.com/security/security-updates/](https://access.redhat.com/security/security-updates/) (对应接口:https://access.redhat.com/labs/securitydataapi/)
    • 特点: Red Hat Enterprise Linux的官方漏洞源,内容与NVD同步但更侧重RHEL(红帽企业Linux)生态,包含“影响状态”(如未修复、已修复)。
    • 适用: 企业级Linux运维、红帽订阅用户。
  2. Ubuntu CVE Tracker

    • 地址: [https://people.canonical.com/~ubuntu-security/cve/](https://people.canonical.com/~ubuntu-security/cve/) 或 [https://ubuntu.com/security/cve](https://ubuntu.com/security/cve)
    • 特点: Ubuntu官方维护的漏洞跟踪系统,关键词:package name(软件包名)、patch availability(补丁可用性)、priority(优先级)。
    • 适用: Ubuntu服务器、桌面安全维护。

国内镜像与中文支持

  1. CNNVD (中国国家漏洞数据库)

    • 地址: [http://www.cnnvd.org.cn/](http://www.cnnvd.org.cn/)
    • 特点: 中国国家漏洞数据库,与CVE对应,侧重于中文描述、国内受影响产品(如华为、阿里等),更新相对NVD有延迟。
    • 适用: 国内企业合规、等保测评、中文安全研究。
  2. OSV.dev

    • 地址: [https://osv.dev/](https://osv.dev/)
    • 特点: Google、GitHub、Linux基金会联合推出的开源漏洞格式,不仅包含NVD数据,还直接索引GitHub Advisory、PyPA、Go、RustSec等生态数据,支持统一API查询。
    • 适用: 多语言项目依赖扫描、CI/CD自动化集成(如GitHub Actions)。

API与自动化集成建议

数据库 推荐使用场景 是否需要API Key(API密钥)
NVD(美国国家漏洞数据库) 权威数据源、构建自己的安全基线 不需要(但建议申请API Key以提高速率)
OSV(开源漏洞格式) 多语言项目扫描、轻量级集成 不需要
GitHub Advisory GitHub生态内部、Dependabot 需要GitHub Token
Red Hat/Ubuntu Linux系统级安全更新 不需要
国内用户 CNNVD + OSV + NVD 视接口而定

补充: 以上所有数据库均可通过其官方API(应用程序接口)进行自动化获取,适合集成到安全运维平台、开发流程或漏洞管理系统中,对于日常使用,推荐优先选择OSV.dev(跨语言统一查询)搭配NVD(细节补全)的组合方案。

抱歉,评论功能暂时关闭!