OpenCVE:一款自动收集NVD、MITRE等多源知名漏洞库的开源工具,累计收录CVE 27万+
漏洞库在企业中扮演着至关重要的角色,不仅提升了企业的安全防护能力,还支持了安全决策、合规性要求的满足以及智能化管理的发展。前期博文《业界十大知名权威安全漏洞库介绍》介绍了主流漏洞库,今天给大家介绍一款集成了多款漏洞库的开源漏洞预警平台。
1. 什么是OpenCVE
OpenCVE是一个开源项目,旨在帮助用户跟踪和管理其软件和系统中的安全漏洞。它的核心原理是通过集成多个漏洞数据库,自动化地收集和更新漏洞信息,并允许我们根据各种条件搜索、过滤和组织他们,从而为用户提供实时的安全态势感知。
我在写这篇文章时,OpenCVE刚好完成了v2版本的发布,这个新版本是对v1的完全重构,具有新的技术栈、增强的功能和改进的可扩展性。相比v1版本,主要变化点如下:
- 升级的技术栈:从Flask过渡到Django,从Celery过渡到Airflow,实现了强大的可扩展性和工作流编排。
- 组织和项目:引入了对组织和项目的支持,以帮助隔离订阅(供应商和产品)并更有效地组织通知。
- Webhook集成:添加了Webhook支持,将OpenCVE通知集成到外部系统和工作流中。
- 增强的漏洞源:将CVE更新与MITRE、NVD、RedHat和VulnEnrichment的丰富数据进行交叉引用,提供全面和最新的漏洞见解。
截止2024.12.15,OpenCVE已经收录了27.3W+个CVE漏洞。
项目地址:
https://github.com/opencve/opencve
项目网站:
https://www.opencve.io/
2. OpenCVE主要功能介绍
通过多源漏洞库集成、漏洞监控及API支持,OpenCVE可帮助组织提高对安全漏洞的响应速度,降低其潜在的安全风险。
2.1. 漏洞监控
用户可以通过OpenCVE按供应商或产品来监控特定软件或库的漏洞,系统会自动通知用户相关的安全更新和漏洞信息,这些通知可以通过电子邮件或Webhook发送。
2.2. 集成多源数据
OpenCVE交叉引用来自多个可靠来源的信息,如MITRE、Vulnrichment、NVD和RedHat。这确保了漏洞数据保持准确和最新,即使其中一个源暂时不可用,也不影响整个流程。
2.3. 自定义配置
用户可以根据自己的需求自定义监控的项目和接收通知的方式,灵活适应不同的安全管理策略。
2.4. API支持
OpenCVE提供API接口,方便开发者将其集成到其他安全管理工具中,提升整体的安全防护能力。
比如,如下为获取CVE列表的接口
$ curl -u username:password https://app.opencve.io/api/cve?page=10
{"count": 262939,"next": "https://app.opencve.io/api/cve?page=11","previous": "https://app.opencve.io/api/cve?page=9","results": [...]
}
要想了解更多接口的调用方式,可能参阅官网https://docs.opencve.io/api/。
3. 如何使用OpenCVE
大家可以根据自身情况选择如下两种使用方式:
- 自托管:可以使用Docker在自己的服务器上安装和配置OpenCVE,这种方式提供了对实例的完全控制;
- SaaS版本:或者可以使用OpenCVE的免费SaaS版本,网址为https://www.opencve.io。此选项不需要设置,可以开箱即用,需要在平台注册账户方可使用更多功能。
4. 如何搭建私有化OpenCVE
克隆OpenCVE存储库并进入docker目录,然后运行 install.sh 脚本:
git clone https://github.com/opencve/opencve.git
cd docker
./install.sh
它将准备环境并运行OpenCVE所需的所有服务。由于依赖的组件较多,需求实时联网下载依赖文件,整个安装启动过程耗时约30min。
安装完成后可以用默认的密码登录。
比如,我们可以登录到Airflow(OpenCVE利用其进行漏洞源采集)的后台查看漏洞采集的任务信息。
Airflow是一个可编程,调度和监控的开源工作流平台,基于有向无环图(DAG),Airflow可以定义一组有依赖的任务,按照依赖依次执行。
相关文章:
OpenCVE:一款自动收集NVD、MITRE等多源知名漏洞库的开源工具,累计收录CVE 27万+
漏洞库在企业中扮演着至关重要的角色,不仅提升了企业的安全防护能力,还支持了安全决策、合规性要求的满足以及智能化管理的发展。前期博文《业界十大知名权威安全漏洞库介绍》介绍了主流漏洞库,今天给大家介绍一款集成了多款漏洞库的开源漏洞…...
麒麟信安参编的《能源企业数字化转型能力评价 技术可控》团体标准发布
近日,中国能源研究会发布公告,《能源企业数字化转型能力评价 技术可控》团体标准发布。该标准由麒麟信安与国网湖北省电力有限公司武汉供电公司、国网智能电网研究院有限公司、中能国研(北京)电力科学研究院等单位联合编制。 《能…...
戴尔物理机更换完Raid控制器(阵列卡),启动服务器失败
背景 我们使用的物理机是戴尔的POWEREDGE R730机器,由于硬件损坏导致该问题的延申,再更换完Raid的控制器(阵列卡)之后导致启动服务器报错。 报错: There are offline or missing virtual drives with preserved cac…...
计算机基础知识——数据结构与算法(二)(山东省大数据职称考试)
大数据分析应用-初级 第一部分 基础知识 一、大数据法律法规、政策文件、相关标准 二、计算机基础知识 三、信息化基础知识 四、密码学 五、大数据安全 六、数据库系统 七、数据仓库. 第二部分 专业知识 一、大数据技术与应用 二、大数据分析模型 三、数据科学 大数据相关标准…...
docsify
macos ➜ ~ node -v v16.20.2➜ ~ npm --version 8.19.4全局安装 docsify-cli 工具 npm i docsify-cli -g➜ ~ docsify -vdocsify-cli version:4.4.4初始化项目 docsify init ./docsls -ah docs . .. .nojekyll README.md index.htmlindex.html 入口文件README.md 会…...
GEE教程——使用 CHIRPS 和 GSMaP 数据集计算并可视化了特定区域的降水量
目录 简介 函数 ee.Image.pixelLonLat() No arguments. Returns: Image visualize(bands, gain, bias, min, max, gamma, opacity, palette, forceRgbOutput) Arguments: Returns: Image 代码解释 代码 结果 简介 GEE教程——使用 CHIRPS 和 GSMaP 数据集计算并可视…...
前端实现页面自动播放音频方法
前端实现页面视频在谷歌浏览器中自动播放音频方法 了解Chrome自动播放策略 在Chrome和其他现代浏览器中,为了改善用户体验,自动播放功能受到了限制。Chrome的自动播放策略主要针对有声音的视频,目的是防止页面在用户不知情的情况下自动播放声…...
【Nginx-5】Nginx 限流配置指南:保护你的服务器免受流量洪峰冲击
在现代互联网应用中,流量波动是常态。无论是突发的用户访问高峰,还是恶意攻击,都可能导致服务器资源耗尽,进而影响服务的可用性。为了应对这种情况,限流(Rate Limiting)成为了一种常见的保护措施…...
【芯片设计- RTL 数字逻辑设计入门 番外篇 7.1 -- 基于ATE的IC测试原理】
文章目录 ATE 测试概述Opens/Shorts测试Leakage测试AC测试转自:漫谈大千世界 漫谈大千世界 2024年10月23日 23:17 湖北 ATE 测试概述 ATE(Automatic Test Equipment)是用于检测集成电路(IC)功能完整性的自动测试设备。它在半导体产业中扮演着至关重要的角色,主要用于检…...
SurfaceFlinger 学习
Android 图形系统之七:SurfaceFlinger-CSDN博客 CSDN...
Flink SQL 从一个SOURCE 写入多个Sink端实例
一. 背景 FLINK 任务从一个数据源读取数据, 写入多个sink端. 二. 官方实例 写入多个Sink语句时,需要以BEGIN STATEMENT SET;开头,以END;结尾。--源表 CREATE TEMPORARY TABLE datagen_source (name VARCHAR,score BIGINT ) WITH (connector datagen …...
python飞机大战游戏.py
python飞机大战游戏.py import pygame import random# 游戏窗口大小 WINDOW_WIDTH 600 WINDOW_HEIGHT 800# 颜色定义 BLACK (0, 0, 0) WHITE (255, 255, 255)# 初始化Pygame pygame.init()# 创建游戏窗口 window pygame.display.set_mode((WINDOW_WIDTH, WINDOW_HEIGHT))…...
【C++】14___String容器
目录 一、string基本概念 二、string赋值操作 三、字符串拼接 四、 string查找和替换 五、 string字符串比较 六、string插入和删除 七、string子串 一、string基本概念 本质:string是C风格的字符串,而string本质上是一个类 string和char*区别&am…...
数据特性库 前言
文章目录 一、num-traits库简介二、核心功能三、更新功能四、使用方式五、应用示例六、结论 一、num-traits库简介 num-traits是Rust编程语言中的一个开源库,专注于为数值类型提供一系列的数学运算特性和接口。它支持泛型数学计算,允许开发者在不指定具…...
jdk和cglib动态代理区别
目标类不同 jdk目标类需要实现接口。 cglib不需要。 代理类生成方式不同 jdk内部字节码生成代理类。 cglib使用ASM字节码生成库生成代理类。 代理类和目标类关系不同 jdk代理类实现目标类接口,jdk无法代理目标类中static或private的方法。 cglib 代理类继承目标类…...
部署Mysql、镜像和容器、常见命令
目录 部署Mysql 镜像和容器 常见命令 部署Mysql 可以有多个容器 docker run -d \--name mysql \-p 3306:3306 \-e TZAsia/Shanghai \-e MYSQL_ROOT_PASSWORD123 \mysql docker run -d \--name mysql2 \-p 3307:3307 \-e TZAsia/Shanghai \-e MYSQL_ROOT_PASSWORD123 \mys…...
【数学】P2671 [NOIP2015 普及组] 求和
题目背景 NOIP2015 普及组 T3、深入浅出进阶1-5 题目描述 一条狭长的纸带被均匀划分出了 n n n 个格子,格子编号从 1 1 1 到 n n n。每个格子上都染了一种颜色 c o l o r i color_i colori 用 [ 1 , m ] [1,m] [1,m] 当中的一个整数表示)&…...
【AI图像生成网站Golang】项目测试与优化
AI图像生成网站 目录 一、项目介绍 二、雪花算法 三、JWT认证与令牌桶算法 四、项目架构 五、图床上传与图像生成API搭建 六、项目测试与优化 六、项目测试与优化 在开发过程中,性能优化是保证项目可扩展性和用户体验的关键步骤。本文将详细介绍我如何使用一…...
vue常用自定义指令
参考链接1https://blog.csdn.net/m0_67584973/article/details/139300966?spm1001.2014.3001.5501 参考链接2https://juejin.cn/post/7067051410671534116...
以太网帧、IP数据报图解
注:本文为 “以太网帧、IP数据报”图解相关文章合辑。 未整理去重。 以太网帧、IP数据报的图解格式(包含相关例题讲解) Rebecca.Yan已于 2023-05-27 14:13:19 修改 一、基础知识 UDP 段、IP 数据包,以太网帧图示 通信过程中&…...
3步搭建JNPF工作流:新手也能玩转全流程类型
接触过不少刚入门低代码的开发和企业数字化人员,一提搭建工作流就犯怵:分不清流程类型适配场景,摸不透决策流的规则配置,搞不定自由流的灵活流转,最后要么搭出的流程适配性差,要么冗余臃肿跑不通。 其实基于…...
)
Ubuntu纯键盘操作全攻略:从入门到精通(附常用快捷键速查表)
Ubuntu纯键盘操作全指南:释放效率革命的终极手册 在数字工作流中,每一次伸手去摸鼠标都意味着思维的中断和效率的流失。Ubuntu作为最受欢迎的Linux发行版之一,其键盘操作体系之丰富远超多数用户的想象——从简单的窗口切换到底层系统调试&…...
)
从连续到离散:用Python小例子复现Mamba SSM的零阶保持离散化(含完整代码)
从连续到离散:用Python小例子复现Mamba SSM的零阶保持离散化(含完整代码) 在深度学习领域,状态空间模型(State Space Model, SSM)因其对序列数据的强大建模能力而备受关注。Mamba作为SSM的最新演进&#x…...
MOOTDX终极指南:5个简单步骤掌握Python通达信数据接口
MOOTDX终极指南:5个简单步骤掌握Python通达信数据接口 【免费下载链接】mootdx 通达信数据读取的一个简便使用封装 项目地址: https://gitcode.com/GitHub_Trending/mo/mootdx MOOTDX是一个强大的Python通达信数据接口库,它能让你轻松获取A股市场…...
)
用Arduino Uno和纸板DIY一个超静音扫地机器人(附完整代码和接线图)
用Arduino Uno和纸板DIY一个超静音扫地机器人(附完整代码和接线图) 在宿舍或小公寓里,市售扫地机器人的马达噪音常常让人头疼。特别是对于学生和创客群体来说,既需要保持环境整洁,又不希望打扰到室友或邻居的休息。今天…...
颠覆式剧本创作:Dramatron如何用AI重构故事生成流程
颠覆式剧本创作:Dramatron如何用AI重构故事生成流程 【免费下载链接】dramatron Dramatron uses large language models to generate coherent scripts and screenplays. 项目地址: https://gitcode.com/gh_mirrors/dr/dramatron 痛点直击:剧本创…...
【实战指南】解决Qt平台插件加载失败:从环境变量到PyQt5重装的完整方案
1. 遇到Qt平台插件加载失败?别慌,先看懂报错信息 最近在Windows上跑labelimg标注工具时,突然弹出一个让人头疼的错误: qt.qpa.plugin: Could not load the Qt platform plugin "windows" in "" even though…...
)
手把手教你用n8n和Gemini 2.5 Flash搭建英语作文批改机器人(附完整工作流JSON)
从零构建AI英语作文批改系统:基于n8n与Gemini的自动化实践 在数字化教育浪潮中,教师面临的最大挑战之一是如何高效处理大量学生作业。英语作文批改尤其耗时——需要逐字阅读、语法检查、内容评估,最后还要给出建设性反馈。传统方式下…...
瑞芯微RK3399固件急救指南:用upgrade_tool搞定系统崩溃后的快速还原
RK3399固件灾难恢复实战:从分区表重建到全系统还原 当一块搭载RK3399的开发板因固件损坏而变砖时,那种面对黑屏的无力感,相信每个嵌入式开发者都深有体会。去年我们产线就遭遇过因批量升级失败导致30台设备集体罢工的紧急状况,正…...
StructBERT中文情感识别效果展示:电影评论情感极性与票房相关性验证
StructBERT中文情感识别效果展示:电影评论情感极性与票房相关性验证 1. 项目概述与背景 StructBERT 情感分类 - 中文 - 通用 base 是百度基于 StructBERT 预训练模型微调后的中文通用情感分类模型,专门用于识别中文文本的情感倾向。这个模型在中文 NLP…...