本文目录导读:

综合型漏洞数据库(涵盖所有软件生态)
-
NVD (National Vulnerability Database)
- 地址: [https://nvd.nist.gov/](https://nvd.nist.gov/)
- 特点: 美国国家漏洞数据库,全球最权威的漏洞库,所有CVE(通用漏洞披露)编号的官方信息源,包含CVSS(通用漏洞评分系统)评分、影响评估等技术细节。
- 适用: 安全研究、企业级威胁情报分析、合规审计。
-
CVE (Common Vulnerabilities and Exposures)
- 地址: [https://cve.mitre.org/](https://cve.mitre.org/) 或 [https://www.cve.org/](https://www.cve.org/)
- 特点: 漏洞编号的官方字典,MITRE(美国非营利安全组织)维护,收录所有公开漏洞的标准化ID和简要描述。
- 适用: 漏洞跟踪、跨平台漏洞检索、漏洞管理工具集成。
开源项目专用漏洞数据库(GitHub/GitLab等生态)
-
GitHub Advisory Database
- 地址: [https://github.com/advisories](https://github.com/advisories)
- 特点: GitHub官方维护的开源项目漏洞库,收录了GitHub上公开仓库的漏洞,包含依赖树分析、修复版本建议,数据会同步到NVD。
- 适用: 使用GitHub进行代码管理的团队、Dependabot(GitHub依赖扫描工具)自动告警。
-
OSS-Fuzz
- 地址: [https://bugs.chromium.org/p/oss-fuzz/](https://bugs.chromium.org/p/oss-fuzz/) 及辅助查询工具 [https://oss-fuzz.com/](https://oss-fuzz.com/)
- 特点: Google维护的模糊测试平台,专门发现开源软件中的内存安全漏洞,漏洞页面直接链接到CVE及修复commit(代码提交)。
- 适用: C/C++/Go/Rust等底层开发项目、希望提前发现0day漏洞的团队。
-
OpenCVE
- 地址: [https://www.opencve.io/](https://www.opencve.io/)
- 特点: 聚合NVD、Red Hat、Ubuntu等多源数据的开源工具,支持按CWE(通用弱点枚举)、CVSS(通用漏洞评分系统)评分、厂商自定义筛选。
- 适用: 安全运营团队定制化漏洞监控、自动化预警。
软件包管理器/生态专属漏洞库
-
Pyup.io Safety DB
- 地址: [https://github.com/pyupio/safety-db](https://github.com/pyupio/safety-db)
- 特点: Python生态的漏洞数据库,专为pip包检测设计,数据持续更新,包含Python具体版本号的受影响范围。
- 适用: Python开发者、使用Snyk/Pyup的CI/CD(持续集成/持续部署)流程。
-
Ruby Advisory Database
- 地址: [https://github.com/rubysec/ruby-advisory-db](https://github.com/rubysec/ruby-advisory-db)
- 特点: Ruby社区的官方漏洞库,收录Ruby on Rails、Gem包等漏洞。
- 适用: Ruby/Rails应用安全审计。
-
FriendsOfPHP Security Advisories
- 地址: [https://github.com/FriendsOfPHP/security-advisories](https://github.com/FriendsOfPHP/security-advisories)
- 特点: PHP生态的漏洞列表,涵盖Composer依赖、Laravel、Symfony等主流框架。
- 适用: PHP开发者、composer audit(Composer依赖审计)命令的数据源。
Linux/系统级漏洞数据库
-
Red Hat CVE Database
- 地址: [https://access.redhat.com/security/security-updates/](https://access.redhat.com/security/security-updates/) (对应接口:https://access.redhat.com/labs/securitydataapi/)
- 特点: Red Hat Enterprise Linux的官方漏洞源,内容与NVD同步但更侧重RHEL(红帽企业Linux)生态,包含“影响状态”(如未修复、已修复)。
- 适用: 企业级Linux运维、红帽订阅用户。
-
Ubuntu CVE Tracker
- 地址: [https://people.canonical.com/~ubuntu-security/cve/](https://people.canonical.com/~ubuntu-security/cve/) 或 [https://ubuntu.com/security/cve](https://ubuntu.com/security/cve)
- 特点: Ubuntu官方维护的漏洞跟踪系统,关键词:package name(软件包名)、patch availability(补丁可用性)、priority(优先级)。
- 适用: Ubuntu服务器、桌面安全维护。
国内镜像与中文支持
-
CNNVD (中国国家漏洞数据库)
- 地址: [http://www.cnnvd.org.cn/](http://www.cnnvd.org.cn/)
- 特点: 中国国家漏洞数据库,与CVE对应,侧重于中文描述、国内受影响产品(如华为、阿里等),更新相对NVD有延迟。
- 适用: 国内企业合规、等保测评、中文安全研究。
-
OSV.dev
- 地址: [https://osv.dev/](https://osv.dev/)
- 特点: Google、GitHub、Linux基金会联合推出的开源漏洞格式,不仅包含NVD数据,还直接索引GitHub Advisory、PyPA、Go、RustSec等生态数据,支持统一API查询。
- 适用: 多语言项目依赖扫描、CI/CD自动化集成(如GitHub Actions)。
API与自动化集成建议
| 数据库 | 推荐使用场景 | 是否需要API Key(API密钥) |
|---|---|---|
| NVD(美国国家漏洞数据库) | 权威数据源、构建自己的安全基线 | 不需要(但建议申请API Key以提高速率) |
| OSV(开源漏洞格式) | 多语言项目扫描、轻量级集成 | 不需要 |
| GitHub Advisory | GitHub生态内部、Dependabot | 需要GitHub Token |
| Red Hat/Ubuntu | Linux系统级安全更新 | 不需要 |
| 国内用户 | CNNVD + OSV + NVD | 视接口而定 |
补充: 以上所有数据库均可通过其官方API(应用程序接口)进行自动化获取,适合集成到安全运维平台、开发流程或漏洞管理系统中,对于日常使用,推荐优先选择OSV.dev(跨语言统一查询)搭配NVD(细节补全)的组合方案。