工具学习_CVE Binary Tool

1. 工具概述

CVE Binary Tool 是一个免费的开源工具，可帮助您使用国家漏洞数据库（NVD）常见漏洞和暴露（CVE）列表中的数据以及Redhat、开源漏洞数据库（OSV）、Gitlab咨询数据库（GAD）和Curl中的已知漏洞数据来查找软件中的已知脆弱性。该工具有两种主要操作模式：

• 二进制扫描程序：可帮助您确定哪些包可能已作为软件的一部分包含在内。该程序包括 360 检查器，扫描程序主要适用于常见的、易受攻击的开源组件，如openssl、libpng、libxml2和expat。
• 组件列表扫描程序：用于扫描各种格式的已知组件列表，包括.csv、几种linux分发包列表、特定语言的包扫描仪以及几种软件物料清单（SBOM）格式。

它旨在用作您的持续集成系统的一部分，以实现定期漏洞扫描，并为您的供应链中的已知问题提供预警。它还可以用于自动检测组件和创建SBOM。CVE Binary Tool 的工作流程图如下所示：

下载 CVE 数据：CVE 数据来自 NVD、Redhat、OSV、Gitlab 以及 Curl。默认情况下，这每天发生一次，而不是每次运行扫描；首次运行时，下载所有数据可能需要一些时间。

创建/读取组件列表：使用二进制检查器和语言组件列表（如python的requirements.txt）的组合创建组件列表（包括版本）；阅读 SBOM（使用标准化软件物料清单格式的现有组件列表。）

创建 CVE 列表：这将查找从现有物料清单中找到或读取的所有组件，并报告与之相关的任何已知问题。

CVE 评估：根据已有的知识对 CVE 的严重程度进行评估。

生成报告：以一种或多种格式（控制台、json、csv、html、pdf）生成报告。

2. 工具使用

2.1 安装 CVE Binary Tool

通过 pip 实现 CVE Binary Tool 的安装，代码如下所示：

pip install cve-bin-tool

首次使用时（默认情况下，每天一次），该工具将从一组已知的漏洞数据源下载漏洞数据。由于NVD的可靠性问题，从3.3版本开始，我们将在https://cveb.in/默认情况下，而不是直接联系NVD。如果您希望直接从NVD服务器获取数据，则必须提供自己的NVD_API_KEY才能使用其API。

2.2 CVE Binary Tool 使用方式

使用二进制扫描程序查找已知漏洞：要在目录或文件上运行二进制扫描程序，请执行以下操作

cve-bin-tool <directory/file>

默认情况下，该工具假设您正在尝试扫描整个目录，但如果您为其提供一个列出依赖关系的.csv或.json文件，它将把它视为物料清单。您还可以直接使用--input-file选项指定物料清单文件，或按照以下说明扫描SBOM。

扫描SBOM文件以查找已知漏洞：要扫描软件物料清单文件（SBOM），请执行以下操作

cve-bin-tool --sbom <sbom_filetype> --sbom-file <sbom_filename>

有效的 sbom_filetype 包括 SPDX、CycloneDX 以及 SWID。扫描 SBOM 文件中的产品名称不区分大小写。SBOM 扫描操作指南提供了其他 SBOM 扫描示例。

生成 SBOM：除了扫描SBOM外，CVE Binary Tool 还可以用于从扫描中生成 SBOM，如下所示

cve-bin-tool  --sbom-type <sbom_type> --sbom-format <sbom-format> --sbom-output <sbom_filename> <other scan options as required>

有效的 sbom_type 包括 SPDX 和 CycloneDX，生成的 SBOM 将包括产品名称、版本以及供应商，未提供许可证信息。SBOM 生成指南提供了其他SBOM生成示例。

生成 VEX：除了扫描VEX，CVE二进制工具还可以用于从扫描中生成VEX，如下所示：

cve-bin-tool  --vex-type <vex_type> --vex-output <vex_filename> <other scan options as required>

有效的 vex_type 是CSAF、CycloneDX和OpenVEX。VEX 生成指南提供了其他VEX生成示例。

漏洞分类：--triage-input-file 选项可用于在扫描目录时添加额外的分类数据，如备注、评论等，以便输出反映此分类数据，从而节省重新分类的时间（用法：cve bin tool--trianges-input-filetest.vex/path/to/scan）。支持的格式是 CycloneDX VEX 格式，可以使用 --VEX 选项生成。常见的使用方式包括：

• 通过 cve-bin-tool /path/to/scan --vex triage.vex 指令生成 triage 文件
• 使用您最喜欢的文本编辑器编辑 triage.vex，以提供所列漏洞的分类信息。
• 通过 cve-bin-tool /path/to/scan --triage-input-file triage.vex 指令使用 triage 文件作为新的扫描依据。

应该可以在不同运行的 cve-bin-tool 之间或与支持 CycloneDX VEX 格式的其他工具共享 triage 数据。这对于扫描相关产品或容器的团队、出于合规原因需要使用多种工具的团队、拥有提供漏洞分类指导的中央安全策略组的公司等尤其有用。

离线使用：在运行扫描时指定 --offline 选项可确保 cve-bin-tool 不会尝试下载最新的数据库文件或检查该工具的更新版本。

请注意，在工具可以脱机模式运行之前，您需要获取漏洞数据的副本。离线操作指南包含有关如何设置数据库的更多信息。

在 GitHub Action 中使用 cve-bin-tool：如果你想将 cve-bin-tool 工具集成为 github 操作管道的一部分，你可以使用 cve-bin-tool 的官方github action。在此处查找更多详细信息。GitHub Action在安全选项卡上提供报告，该选项卡可供开源项目以及为该访问付费的GitHub客户使用。

如果您希望直接使用该工具，我们还提供了一个GitHub操作示例。对于希望将报告存储在证据柜中的团队或无法访问GitHub安全选项卡的团队来说，这可能是一个不错的选择。

输出选项：cve-bin-tool 默认提供基于控制台的输出。如果要提供另一种格式，可以使用 --format在命令行上指定此格式和文件名。有效格式为 CSV、JSON、console、HTML 以及 PDF。可以使用 --output file 标志指定输出文件名。您还可以使用逗号（'，'）作为分隔符指定多种输出格式：

cve-bin-tool file -f csv,json,html -o report

通过指定 --VEX 命令行选项，还可以以漏洞交换（VEX）格式报告报告报告的漏洞。然后，生成的VEX文件可以用作 --triange 输入文件，以支持 triange 过程。

如果您希望使用PDF支持，则需要单独安装reportlab库。如果您打算在安装 cve-bin-tool 时使用PDF支持，您可以指定它，并且 report-lab 将作为 cve bin 工具安装的一部分安装：

pip install cve-bin-tool[PDF]

如果你已经安装了cve-bin-tool，你可以在事后使用 pip 添加 reportlab：

pip install --upgrade reportlab

请注意，reportlab 已从默认的 cve-bin-tool 安装中删除，因为它有一个已知的cve关联（cve-2020-28463）。cve-bin-tool 代码使用推荐的缓解措施来限制添加到PDF的资源，以及额外的输入验证。这有点奇怪，因为它描述了PDF的核心功能：外部项目，如图像，可以嵌入其中，因此任何查看PDF的人都可以加载外部图像（类似于查看网页如何触发外部加载）。对此没有固有的“修复”，只有缓解措施，库的用户必须确保在生成时只将预期的项目添加到PDF中。

由于用户可能不希望安装带有开放的、不可修复的CVE的软件，我们选择仅对自己安装了库的用户提供PDF支持。安装库后，PDF报告选项将起作用。

3. 工具配置

您可以使用--config选项为工具提供配置文件。您仍然可以使用命令行参数覆盖配置文件中指定的选项。