核心用法
agent-bom-vulnerability-intel 是一款基于 Python 的供应链安全扫描技能,通过统一的 agent-bom 命令行工具整合五大权威漏洞数据源:
- OSV.dev — 开源漏洞数据库,覆盖多语言生态
- GitHub Security Advisories (GHSA) — 代码托管平台官方安全公告
- NVD — 美国国家漏洞数据库,提供 CVSS/CWE 评分标准
- EPSS — 漏洞利用概率预测模型
- CISA KEV — 已知被利用漏洞目录
支持五种渐进式模式:explain-only(边界说明)、check-package(单包检测)、scan-local(本地扫描)、offline-review(离线模式)、export(SARIF/JSON 报告导出)。用户可精确控制数据流出范围,敏感包名可选择离线缓存策略。
显著优点
1. 多源融合,避免碎片化:自动关联 CVE/GHSA/PYSEC 别名,整合 CVSS、EPSS 概率、KEV 状态、修复版本等完整证据链
2. 数据边界透明:明确区分"包标识符外传"与"源代码不外传"原则,敏感场景支持纯离线模式
3. 输出标准化:原生支持 SARIF(GitHub Code Scanning 集成)和 JSON 审计格式
4. 零硬编码凭证:基础功能无需 API Key,可选令牌仅用于提升速率限制
5. 供应链原生设计:专为 SBOM、agent 清单、依赖清单扫描场景优化
潜在局限
- Python 3.11+ 硬性依赖:旧环境需升级
- 离线模式覆盖度受限:依赖本地缓存的漏洞库新鲜度
- 非自动修复工具:仅提供情报,不执行依赖升级(需用户显式触发修复流程)
- 生态覆盖盲区:私有 registry/内部包名若未公开披露,外部数据源无记录
适合人群
- DevSecOps 工程师(CI/CD 集成、PR 门禁)
- 安全审计团队(合规报告、SBOM 验证)
- 开源维护者(依赖漏洞 triage)
- 企业合规官(CISA KEV 清单比对)
常规风险
- 误报漏报风险:EPSS 为概率模型,非确定性预测;未知版本标记为"数据不足"而非"安全"
- 速率限制:无 Token 时可能受限于 GitHub/OSV 公开接口配额
- 标识符泄露风险:
check-package模式会将私有包名发送至外部数据库,敏感场景务必先用explain-only确认边界 - 缓存时效性:离线模式结果可能滞后于最新披露
认证结论
该技能由开源社区维护(Apache-2.0),数据源均为公共权威库,架构上通过"包标识符提取→外发查询→结果聚合"的分层设计实现了代码与元数据的隔离,符合供应链安全扫描的最佳实践。