强大的安全审计工具:CVEhound
cvehoundCheck linux sources dump for known CVEs.项目地址:https://gitcode.com/gh_mirrors/cv/cvehound
CVEhound 是一个基于Coccinelle和grep规则的开源工具,它专注于检查Linux源码以发现已知的安全漏洞(CVE)。对于那些没有完整开发日志,但基于LTS内核进行自定义修改的厂商,如三星、华为以及其他IoT设备和路由器制造商,这个工具尤其有用。
项目简介
- 目标: CVEhound的目标是寻找未修复的已知CVE代码片段。
- 方法: 它利用Coccinelle和grep规则来检测特定的CVE错误或其缺失的修复方案。
- 价值: 当供应商的内核版本信息不足以了解他们是否回溯了上游修复时,你可以使用CVEhound来检查“缺失”的CVE修复。
CVEhound在行动
- 在2021年的Linux安全峰会上展示的英文演讲,以及2021年的零之夜会议上分享的俄文演讲中,你可以深入了解CVEhound的功能和价值。
- 工具已经在稳定分支上发现了多个修复缺失的问题,例如针对CVE-2020-27825、CVE-2021-4149、CVE-2022-26490等的修复。
技术分析
- 环境要求: Python 3.5+,pip,支持-P标志的grep,以及Coccinelle 1.0.7及以上版本。
- 安装与更新: 使用Python的pip轻松安装,并通过
cvehound_update_rules
命令获取最新的CVE规则。
应用场景
- 软件供应链安全: 对于提供闭源固件的硬件制造商,可以使用CVEhound来验证他们的内核是否有已知的漏洞。
- 内核维护: 长期支持(LTS)内核分支的维护者可以使用该工具来确保所有关键补丁都已应用。
- 安全性审计: 开发人员和安全团队可以将其集成到持续集成(CI)流程中,用于自动化安全审计。
项目特点
- 高效扫描: 利用Coccinelle的程序匹配引擎快速搜索源代码中的模式。
- 范围可定制: 用户可以选择特定的CVE、文件或CWE类别进行检查。
- 报告生成: 可以生成JSON报告,方便进一步分析和自动化处理。
- 配置校验: 能够检查内核配置文件,以确定是否存在影响漏洞的相关代码。
综上所述,CVEhound是一个强大的开源工具,为Linux系统的安全性带来了宝贵的保障。如果你需要对源代码进行深度安全审计,或者你的工作涉及管理或审查基于Linux的系统,那么CVEhound绝对值得一试。立即安装并体验它的强大功能,提升你的安全防护水平。
cvehoundCheck linux sources dump for known CVEs.项目地址:https://gitcode.com/gh_mirrors/cv/cvehound