VulnerableCode是一个开源软件包漏洞的免费和开源数据库,因为开源软件漏洞数据和工具本身应该是免费和开源的。
项目描述
《易受攻击代码》是一个开源软件包漏洞的免费和开源数据库,因为开源软件漏洞数据和技术工具本身也应该是免费和开源的。
我们正在努力改变这种状况,并在其他几个领域推动现状的演变!
尽管漏洞数据库大多涉及开源软件,但它们传统上属于专有性质。
漏洞数据库通常还包含大量价值较低的数据,这意味着许多需要大量专家审查的误报信号。
漏洞数据库也大多侧重于漏洞而不是软件包,这使得很难找到漏洞是否以及何时适用于某个代码片段。VulnerableCode的关注点首先在于软件包,其中软件包URL是包的关键和自然标识符;这使得查找软件包以及它是否易受攻击变得更加容易。
软件包URL最初是在ScanCode和VulnerableCode中设计的,现在已成为漏洞管理和包引用的事实标准。
请参阅https://github.com/package-url/purl-spec
《易受攻击代码》项目是一个开源社区资源,旨在帮助提高开源软件生态系统及其用户的整体安全性。
《易受攻击代码》由数据库和收集、精炼以及保持数据库更新的工具组成。
了解更多关于《易受攻击代码》的信息https://vulnerablecode.readthedocs.org/
《易受攻击代码》由NLnet、nexB、Google(通过GSoC)以及多位志愿者的积极参与提供资金支持。
《易受攻击代码》的技术栈包括Python、Django、PostgreSQL、nginx和Docker以及多个库。
入门
使用Docker运行
首先安装docker,然后运行
git clone https://github.com/nexB/vulnerablecode.git && cd vulnerablecode make envfile docker compose build docker compose up -d docker compose run vulnerablecode ./manage.py import --list
然后运行nginx通知的导入器(这是一个小工具)
docker compose exec vulnerablecode ./manage.py import vulnerabilities.importers.nginx.NginxImporter docker compose exec vulnerablecode ./manage.py improve --all
此时,VulnerableCode应用和API应该已经启动,并在http://localhost上有一些数据
填充《易受攻击代码》数据库
《易受攻击代码》数据收集分为两个步骤:从多个来源导入数据,然后精炼和改进软件包和软件漏洞之间的关联。
要运行所有导入器和改进器,请使用此命令
./manage.py import --all ./manage.py improve --all
本地开发安装
在Debian系统上,使用以下命令
sudo apt-get install python3-venv python3-dev postgresql libpq-dev build-essential git clone https://github.com/nexB/vulnerablecode.git && cd vulnerablecode make dev envfile postgres make test source venv/bin/activate ./manage.py import vulnerabilities.importers.nginx.NginxImporter ./manage.py improve --all make run
此时,《易受攻击代码》应用和API将在http://127.0.0.1:8001/上启动
界面
《易受攻击代码》附带了一个最小的Web用户界面
以及JSON API和其最小Web文档
许可
版权(c)nexB公司及其他人。版权所有。
《易受攻击代码》是nexB公司的商标。
SPDX-License-Identifier:Apache-2.0 AND CC-BY-SA-4.0
《易受攻击代码》软件根据Apache许可证版本2.0授权。
《易受攻击代码》数据根据CC-BY-SA-4.0许可集体授权。
有关许可文本,请参阅https://apache.ac.cn/licenses/LICENSE-2.0
有关许可文本,请参阅https://creativecommons.org/licenses/by-sa/4.0/legalcode
有关支持或下载,请参阅https://github.com/nexB/vulnerablecode
有关更多关于nexB开源项目的信息,请参阅https://aboutcode.org
致谢
本项目的资金通过NGI0 PET基金获得,该基金由NLnet建立,并得到欧盟委员会下一代互联网计划的支持,在通信网络、内容和技术总司的领导下,根据协议号825310提供资金。
https://nlnet.nl/project/VulnerableCode/
本项目由NGI0 Discovery Fund资助,该基金由NLnet设立,并得到欧盟委员会下一代互联网计划的财政支持,在通信网络、内容和技术总司(DG Connect)的指导下,根据第825322号赠款协议进行。
vulnerablecode-34.0.1.tar.gz的哈希值
| 算法 | 哈希摘要 | |
|---|---|---|
| SHA256 | aeb901e13bc056343523bb38e02bbf14b6d303c86745d8807fbfaeb3f856fd1d |
|
| MD5 | c1cbb1485781e474fde1b01181010100 |
|
| BLAKE2b-256 | a423656df24692ff04d10554c615bd45c7d84aef9d69edaf8f4e6222d0bf73af |
vulnerablecode-34.0.1-py3-none-any.whl的哈希值
| 算法 | 哈希摘要 | |
|---|---|---|
| SHA256 | 85daf21c0c9d8762301de40ae854995747e4b47d56274444b9187d9b060b545b |
|
| MD5 | 51cb996c5b84d1c3560c7233bf50f152 |
|
| BLAKE2b-256 | a471d771955fb5bb7fb735d704be9c7ca2d759b20d68e313e9e80a71c728d46f |