CVE二进制检查器工具

  1. 您所在的位置:
  2. Python中文网 >
  3. pypi >
  4. cve-bin-tool库 >
  5. 正文

cve-bin-tool的Python项目详细描述


CVE二进制工具

Build StatuscodecovGitterCode style: black

cve二进制工具扫描许多常见的、易受攻击的开放源码 组件(openssl、libpng、libxml2、expat和其他一些组件)让您知道 如果给定的目录或二进制文件包含 脆弱性。

用法: cve-bin-tool <flags> <path to directory>

您还可以执行python -m cve_bin_tool.cli <flags> <path to directory>,这在尝试the cve-bin-tool github中的最新代码时非常有用。

  -h, --help            show help message and exit


  Output options:
  -v, --verbose         details on found issues as script runs
  -q, --quiet           suppress output
  -l {debug,info,warning,error,critical}, --log {debug,info,warning,error,critical}
                        log level

  Functional options:
  -x, --extract         autoextract compressed files
  -s SKIPS, --skips SKIPS
                        comma-separated list of checkers to disable
  -m, --multithread     enable multithread
  -u {now,daily,never}, --update {now,daily,never}
                        update schedule for NVD database. Default is daily.

这个版本可能是最后一个支持Python2.7的版本;请切换到Python3。

本自述文件旨在作为使用该工具的快速入门指南。如果你 需要更多信息,还有一个user manual可用。

工作原理

这个扫描器检查二进制文件中的字符串,看看它们是否 匹配以下库和工具的某些易受攻击的版本:

  • 卷曲
  • 外籍人士
  • 重症监护病房
  • kerberos
  • libgcrypt
  • libjpeg
  • libnss
  • libpng
  • libtiff
  • node.js
  • openssl
  • sqlite
  • 系统d
  • 复印件
  • xml2
  • 兹利布

所有的跳棋都可以在跳棋目录中找到,就像 instructions on how to add a new checker。 可以通过 GitHub issues

限制

此扫描仪不会尝试利用问题或检查 详细信息;它只查找库签名和版本号。因此,它 无法判断是否有人已将修补程序移植到易受攻击的版本,并且 如果故意混淆库或版本信息,则无法工作。

此工具用于快速运行、易于自动签入 非恶意环境,使开发人员能够了解旧库 与已编译到其二进制文件中的安全问题有关。

要求

要使用自动提取器,可能需要以下实用程序,具体取决于 需要提取的文件类型。下面是运行完整 Linux上的测试套件:

  • ar
  • cabextract
  • cpio
  • rpm2cpio

默认情况下,大多数安装在许多linux系统上,但是cabextractrpm2cpio可能特别需要安装。

在Windows系统上,您可能需要:

  • ar
  • 7z
  • Expand

windows默认安装了arExpand,但可能需要特别安装7z。(7Z仅用于RPM提取,这在我们的测试套件中使用得非常多,但如果您不扫描Windows上的RPM文件,则可以不扫描。)

CSv2套管

cve二进制工具包还包括一个名为csv2cve的工具,它是一个帮助工具,允许您在本地数据库中搜索已知包的列表。如果知道包的列表,这可能很有用。

用法: csv2cve <csv_file>

csv文件必须包含以下列:vendor,package,version,其中供应商和包名称与国家漏洞数据库中的字符串完全匹配。您可以阅读有关如何在the checker documentation中找到正确字符串的更多信息,并且csv2cve manual中有关于使用此工具的更多信息。

反馈和贡献

可以通过GitHub issues发出错误和功能请求。注意这些问题 不是私有的,所以在提供输出时要小心,以确保不是 披露其他产品的安全问题。

通过git也欢迎拉取请求。

cve二进制工具使用the Black python code formatter来保持编码风格的一致性; 您可能希望安装它以使拉取请求更容易。

安全问题

工具本身的安全问题可以报告给英特尔的安全部门 事件响应小组VIA https://intel.com/security

如果在使用此工具的过程中发现某人的安全问题 其他代码,请向相关方负责披露。

欢迎加入QQ群-->: 979659372 Python中文网_新手群

推荐PyPI第三方库


导 航 栏

项目 链接

标 签

许可证: BSD许可证(BSD 3条款)

作者信息:: 暂无

维护者

pypi user: terriko terriko pypi user: pdxjohnny pdxjohnny

最新PyPI项目

最新Python常见问题

热门话题
java如何在Spring Boot 2.2.0中添加弹性搜索?   jakarta ee如何在没有java认证的情况下停止直接访问网页(自定义标记)   java Hibernate:使用executeUpdate()的批删除未清除一级缓存   java如何在Hibernate中插入外键定义为Long的实体?   带参数的java Mockito单元测试计算器方法   java如何从Rally Rest API读取集合属性   java如何对基于消息的处理执行集成测试?   带插入排序的java排序字符串数组标记,双链表   java为什么在基于注释的Spring app@Value默认值中解析为null?   java Apache Commons Http客户端注册特定于客户端的协议   如何使用java反转字符串中n个部分的n个字符   java Tomcat在本地主机上运行良好,但在部署时出现内部服务器错误   使用信号量的变量的java结果   Java编译/运行时类路径问题   java哪个提供商负责AES/CTR/NOP添加?   伪错误解码器中的java响应未获取Zalando问题自定义属性