NVD Tools 开源项目教程

于 2024-08-16 09:13:24 发布
阅读量755 收藏 17
点赞数 15
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00315/article/details/141246193
版权

NVD Tools 开源项目教程

nvdtoolsA set of tools to work with the feeds (vulnerabilities, CPE dictionary etc.) distributed by National Vulnerability Database (NVD)项目地址:https://gitcode.com/gh_mirrors/nv/nvdtools

1. 项目的目录结构及介绍

NVD Tools 是一个用于处理国家漏洞数据库(National Vulnerability Database, NVD)数据的工具集合。项目的目录结构如下:

nvdtools/
├── cmd/
│   ├── cpe2cve/
│   ├── csv2cpe/
│   ├── fireeye2nvd/
│   ├── flexera2nvd/
│   ├── nvdsync/
│   ├── rpm2cpe/
│   ├── rustsec2nvd/
│   └── vulndb/
├── cpedict/
├── cvefeed/
├── cvss2/
├── cvss3/
├── debian/
├── providers/
├── rpm/
├── stats/
├── vulndb/
├── wfn/
├── .gitignore
├── CODE_OF_CONDUCT.md
├── CONTRIBUTING.md
├── HOWTO.md
├── LICENSE
├── Makefile
├── README.md
├── go.mod
├── go.sum
└── nvdtools.spec

目录介绍

  • cmd/: 包含各个命令行工具的源代码。
    • cpe2cve/: 用于扫描CPE名称的漏洞。
    • csv2cpe/: 用于从逗号分隔的属性列表生成URI绑定的CPE名称。
    • fireeye2nvd/: 用于将FireEye数据转换为NVD格式。
    • flexera2nvd/: 用于将Flexera数据转换为NVD格式。
    • nvdsync/: 用于同步NVD数据源到本地目录。
    • rpm2cpe/: 用于从RPM包文件名生成URI绑定的CPE名称。
    • rustsec2nvd/: 用于将RustSec数据转换为NVD格式。
    • vulndb/: 用于处理漏洞数据库的命令行工具。
  • cpedict/: 定义解析和查找CPE字典所需的类型和方法。
  • cvefeed/: 处理CVE数据源。
  • cvss2/: 处理CVSS v2评分。
  • cvss3/: 处理CVSS v3评分。
  • debian/: 包含Debian打包相关的文件。
  • providers/: 包含数据提供者的相关文件。
  • rpm/: 包含RPM打包相关的文件。
  • stats/: 包含统计数据的相关文件。
  • vulndb/: 处理漏洞数据库的命令行工具。
  • wfn/: 处理CPE名称的格式。
  • .gitignore: Git忽略文件。
  • CODE_OF_CONDUCT.md: 行为准则。
  • CONTRIBUTING.md: 贡献指南。
  • HOWTO.md: 使用指南。
  • LICENSE: 许可证文件。
  • Makefile: 构建文件。
  • README.md: 项目介绍。
  • go.mod: Go模块文件。
  • go.sum: Go模块校验文件。
  • nvdtools.spec: RPM打包规范文件。

2. 项目的启动文件介绍

项目的启动文件主要位于 cmd/ 目录下,每个子目录对应一个命令行工具。以下是一些主要的启动文件:

  • cmd/cpe2cve/main.go: 用于扫描CPE名称的漏洞。
  • cmd/csv2cpe/main.go: 用于生成URI绑定的CPE名称。
  • cmd/nvdsync/main.go: 用于同步NVD数据源到本地目录。
  • cmd/rpm2cpe/main.go: 用于从RPM包文件名生成URI绑定的CPE名称。
  • cmd/vulndb/main.go: 用于处理漏洞数据库的命令行工具。

这些启动文件定义了各个命令行工具的入口点,并包含了主要的逻辑和功能。

3. 项目的配置文件介绍

NVD Tools 项目没有特定的全局配置文件,但每个命令行工具可能有自己的配置选项和参数。例如,nvdsync 工具可以通过命令行参数指定要同步的数据源和目标目录。

以下是一些常见的配置选项示例:

  • nvdsync:

    nvdsync --feed=cve --output=~/feeds/json

  • `cpe

nvdtoolsA set of tools to work with the feeds (vulnerabilities, CPE dictionary etc.) distributed by National Vulnerability Database (NVD)项目地址:https://gitcode.com/gh_mirrors/nv/nvdtools

柏珂卿
关注
推荐开源项目NVD Tools——你的网络安全守护者
gitblog_00210的博客
08-18 412
推荐开源项目NVD Tools——你的网络安全守护者 nvdtoolsA set of tools to work with the feeds (vulnerabilities, CPE dictionary etc.) distributed by National Vulnerability Database (NVD)项目地址:https://gitcode.com/gh_mirror...
D3Kit 开源项目教程
gitblog_00161的博客
08-21 912
D3Kit 开源项目教程 d3kitD3Kit is a set tools to speed D3 related project development项目地址:https://gitcode.com/gh_mirrors/d3/d3kit 项目介绍 D3Kit 是由 Twitter 开发的一个开源工具包,旨在帮助开发者更快速地构建基于 D3.js 的可视化组件。D3Kit 提供了一系列的抽...
直接拿来用!最火前端开源项目(二)
zzzkk2009的专栏
07-01 1264
摘要:如今开源项目的火热程度已无需再多言语,在(一)中为开发者整理了九大类的开源项目列表,开发者们,你们用的怎么样了?本文继续整理GitHub上最火的前端开源项目列表,列出十个分类,供其继续参阅。 在《直接拿来用!最火前端开源项目(一)》中为开发者整理了九个大类的开源项目列表,开发者们,你们用的怎么样了?是否感觉到开源项目带来的事半功倍的效果呢?在这里,本文继续为你整理了GitHub上最
开源工具利器之基于主机的IDS:Wazuh
黑白的博客
04-19 6205
服务器端安装了wazuh的服务后,服务自动就会采集本台服务器上的信息,服务器上不需要再装agent默认目录为active-response:响应的脚本agentless:无代理安装,即用户名密码etc:配置,ossec.conf核心配置文件ruleset:自带规则库,建议不改log:日志,预警核心以下两个目录记录了何时、触发了哪些规则/var/ossec/logs/alerts/alerts.json:json格式的预警信息,用于分析展示,这不就是给elk用于展示的嘛。
Github上关于大数据的开源项目、论文等合集
07-26 521
Github上关于大数据的开源项目、论文等合集 投递人 itwriter 发布于 2014-08-20 11:40 评论(2) 有2749人阅读 原文链接 [收藏] « »   Awesome Big Data   A curated list of awesome big data frameworks, resources and other awesomeness. I...
探索NVD Tools:安全漏洞管理的新里程
gitblog_00084的博客
05-23 376
探索NVD Tools:安全漏洞管理的新里程 nvdtoolsA set of tools to work with the feeds (vulnerabilities, CPE dictionary etc.) distributed by National Vulnerability Database (NVD)项目地址:https://gitcode.com/gh_mirrors/nv/...
资源list:Github上关于大数据的开源项目、论文等合集
HuFeiHu
10-15 1461
Awesome Big Data A curated list of awesome big data frameworks, resources and other awesomeness. Inspired byawesome-php, awesome-python, awesome-ruby, hadoopecosystemtable & big-data. Your contr...
GeoTools 存在 sql 注入漏洞
murphysec的博客
03-01 461
GeoTools 是一个用于处理地理空间数据(如地理信息系统: GIS)的开源代码库,并且支持 OGC 过滤器表达式语言的解析和编码。PostGIS是PostgreSQL数据库的扩展程序,增加了数据库对地理对象的支持。PostGIS DataStore 为GeoTools的数据库。 GeoTools 受影响版本由于未对用户传入的 sql 语句有效过滤从而存在 SQL 注入漏洞,当使用 OGC 过滤器(由 JDBCDataStore 实现)处理用户sql语句时,攻击者可利用此漏洞查询或修改数据库中的任意数据
直接拿来用!最火的前端开源项目
avsibao8416的博客
08-01 712
  对于开发者而言,了解当下比较流行的开源项目很是必要。利用这些项目,有时能够让你达到事半功倍的效果。为此,本文整理GitHub上最火的前端开源项目列表,内容涵盖了Hack Design、 Designer School、TheExpressiveWeb、如何成为优秀的前端开发工程师、Web开发教学材等,这里按分类的方式列出前九个。   详细内容如下:   一、Architecture ...
开源软件 安全风险_3开源安全风险及其解决方法
weixin_26713521的博客
09-12 3085
开源软件 安全风险Open source software is very popular and makes up a significant portion of business applications. According to Synopsys, 99% of commercial databases contain at least one open source component...
国产化操作系统改造实践(未完)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
04-10 6452
而这些广泛使用的系统都是美国控制范围之内,停服之后,我国将面临产品中断、安全漏洞、运维困难、生态缺失等问题。为降低非自主可控OS对网络安全及供应链的影响,国家及中移集团要求各单位要积极推进CentOS、RedHat及其衍生版本以及SUSE操作系统迁移,提前准备其他品牌非国产操作系统的迁移;目标系统采用基于国内开源社区欧拉社区和龙蜥社区发布的版本。1)上传商业版BCLinux 8.6或社区版Anolis 8.6 镜像到目标主机。2)部署配置FTP服务。
【愚公系列】2023年06月 网络安全高级班 025.HW护网行动攻防演练介绍和工具
时光隧道
05-12 9743
HW护网行动攻防演练是一种针对网络安全的实践活动,用于测试和提高组织的网络安全防御和攻击能力。通过模拟真实的网络攻击和防御行动,演练参与者在紧张压力下的反应和解决问题的能力,发现网络安全漏洞和提高安全意识,加强网络安全防御能力。攻防演练的成员组成一般包括攻击者、防御者和观察者三个角色。攻击者的任务是模拟真实的黑客攻击,找出系统的漏洞并利用其进行攻击,以检验系统的安全性。防御者则负责发现和修补漏洞,并保护系统不受攻击。观察者则负责记录和分析整个攻防过程,并提供建议和改进意见。
原创干货 | 史上最全的大数据学习资源(Awesome Big Data)
Hadoop技术博文
09-23 1433
很多人在学习大数据的时候比较迷茫,不知从何学起,也不能够比较系统、全面的了解大数据框架。为此,过往记忆花了一个周末的时间把 Awesome Big Data (https...
国外整理的一套在线渗透测试资源合集
h4ck0ne的博客
01-23 3252
渗透测试阿克西 一组很棒的渗透测试资源,包括工具、书籍、会议、杂志和其他的东西 目录: 在线资源 渗透测试资源 Shell 脚本资源 Linux 资源 Shellcode 开发 Social社工资源 开锁资源 工具 渗透测试系统版本 渗透测试基础工具 漏洞扫描器 网络工具 Hex编辑器 破解 Windows程序 DDoS 工具 社工工具 藏形工具 逆向工具 书籍 渗透测试书籍 大牛手册系列 网络分
卡通风格化魔法术技能粒子特效 :Toon Projectiles 2 1.0
10-19
这款卡通射击特效资源包提供了 15 种独特的射击物、命中效果和闪光效果,风格统一且易于与您的项目集成。它默认支持 Unity 的内置渲染器,并且兼容 HDRP 和 URP 渲染管线。如果您拥有 Hovl Studio 的其他资源,该包将免费提供。所有效果均在各平台兼容,并且可以通过标准尺寸值轻松调整命中效果的大小。需要注意的是,调整射击物大小时,可能需要修改轨迹长度和按距离生成的速率。 该资源还包含了一个演示场景射击脚本,方便用户快速了解如何使用这些特效。该资源包还与 InfinityPBR 的 Projectile Factory 插件兼容,可以进一步增强您的射击游戏效果。 需要注意的是,推广媒体中使用的后处理效果 "Bloom" 并非资源包自带,建议用户在下载资源包之前,先行从 Unity 包管理器下载 "Post Processing Stack"。HDRP 和 URP 渲染管线的用户可以直接利用内置的 "Volume" 组件中的 "Bloom" 效果。
在 MATLAB GUI 中动态更新数据:策略与实践
10-19
通过本文的详细介绍,你应该能够理解如何在 MATLAB GUI 中更新数据。从设计 GUI 界面到处理用户输入,再到动态更新数据,每一步都是构建交互式 MATLAB 应用程序的关键。通过实际的代码示例,你可以更深入地理解这些概念,并将其应用到你自己的项目中。 记住,GUI 的设计和实现是一个迭代的过程。随着你对用户需求的更深入了解,你可能需要不断调整和优化你的 GUI。通过持续的测试和反馈,你可以创建一个既美观又功能强大的 MATLAB GUI 应用程序
【JCR一区级】Matlab实现白鹭群优化算法ESOA-CNN-BiLSTM-Attention的故障诊断算法研究.rar
最新发布
10-20
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
信创实验室建设方案(24页).pptx
10-19
信创实验室建设方案(24页)
KGBrowserSetup-x86-V1.0.0.100-20190315.exe
10-19
KGBrowserSetup_x86_V1.0.0.100_20190315.exe
DependencyCheck本地NVD库方式
10-13
DependencyCheck是一款用于检测项目依赖中已知安全漏洞的工具。如果你想使用它,并且希望利用本地的National Vulnerability Database (NVD)库,你可以采取以下步骤: 1. **下载NVD数据**:首先,访问NVD官网 <https://nvd.nist.gov/> 下载CSV格式的最新漏洞数据库文件。通常选择"CVE Data Feed"并选择最新的版本。 2. **配置设置**:在`dependency-check.xml`配置文件中,找到`<dependency-check>`标签下的`<cpe-db>`部分,添加一个新的元素如 `<local-cpe-db>...</local-cpe-db>`。这里指定本地NVD文件的位置,例如: ```xml <cpe-db> <remote> <url>http://nvd.nist.gov/download.cve</url> </remote> <local> <file>${settings.localRepository}/dependency-check-data/cpe-nist-v2.0.xml</file> </local> </cpe-db> ``` 3. **指定路径**:`${settings.localRepository}`是一个占位符,你需要将其替换为你项目的本地仓库路径,这样才能让DependencyCheck能找到文件。 4. **运行扫描**:通过命令行或集成到构建流程(如Maven、Gradle等),运行`dependency-check`扫描。比如在Maven中有对应的插件`org.owasp:dependency-check-maven`。 5. **检查结果**:扫描完成后,你可以查看生成的报告,其中包括基于NVD库发现的安全漏洞信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

柏珂卿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值