agent-bom vulnerability intel

🛡️ 五大漏洞源 · 智能聚合 · 安全可控

专业漏洞情报聚合工具,一站式查询 OSV、GHSA、NVD、EPSS 和 CISA KEV,安全边界清晰可控

收藏
8.9k
安装
1.9k
版本
0.94.0
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

agent-bom-vulnerability-intel 是一款基于 Python 的供应链安全扫描技能,通过统一的 agent-bom 命令行工具整合五大权威漏洞数据源:

  • OSV.dev — 开源漏洞数据库,覆盖多语言生态
  • GitHub Security Advisories (GHSA) — 代码托管平台官方安全公告
  • NVD — 美国国家漏洞数据库,提供 CVSS/CWE 评分标准
  • EPSS — 漏洞利用概率预测模型
  • CISA KEV — 已知被利用漏洞目录

支持五种渐进式模式:explain-only(边界说明)、check-package(单包检测)、scan-local(本地扫描)、offline-review(离线模式)、export(SARIF/JSON 报告导出)。用户可精确控制数据流出范围,敏感包名可选择离线缓存策略。

显著优点

1. 多源融合,避免碎片化:自动关联 CVE/GHSA/PYSEC 别名,整合 CVSS、EPSS 概率、KEV 状态、修复版本等完整证据链
2. 数据边界透明:明确区分"包标识符外传"与"源代码不外传"原则,敏感场景支持纯离线模式

3. 输出标准化:原生支持 SARIF(GitHub Code Scanning 集成)和 JSON 审计格式

4. 零硬编码凭证:基础功能无需 API Key,可选令牌仅用于提升速率限制

5. 供应链原生设计:专为 SBOM、agent 清单、依赖清单扫描场景优化

潜在局限

  • Python 3.11+ 硬性依赖:旧环境需升级
  • 离线模式覆盖度受限:依赖本地缓存的漏洞库新鲜度
  • 非自动修复工具:仅提供情报,不执行依赖升级(需用户显式触发修复流程)
  • 生态覆盖盲区:私有 registry/内部包名若未公开披露,外部数据源无记录

适合人群

  • DevSecOps 工程师(CI/CD 集成、PR 门禁)
  • 安全审计团队(合规报告、SBOM 验证)
  • 开源维护者(依赖漏洞 triage)
  • 企业合规官(CISA KEV 清单比对)

常规风险

  • 误报漏报风险:EPSS 为概率模型,非确定性预测;未知版本标记为"数据不足"而非"安全"
  • 速率限制:无 Token 时可能受限于 GitHub/OSV 公开接口配额
  • 标识符泄露风险check-package 模式会将私有包名发送至外部数据库,敏感场景务必先用 explain-only 确认边界
  • 缓存时效性:离线模式结果可能滞后于最新披露

认证结论

该技能由开源社区维护(Apache-2.0),数据源均为公共权威库,架构上通过"包标识符提取→外发查询→结果聚合"的分层设计实现了代码与元数据的隔离,符合供应链安全扫描的最佳实践。

agent-bom vulnerability intel 内容

手动下载zip · 4.6 kB
skill-card.mdtext/markdown
请选择文件