prashantdivate/VulnTrack

# VulnTrack — Yocto CVE 仪表板与漏洞报告导出工具 VulnTrack 是一款轻量级、基于浏览器的 Yocto CVE 仪表板，用于分析 Yocto Project 构建生成的 `cve-summary.json` 报告。 它帮助嵌入式 Linux、产品安全和合规团队审查 CVE、受影响的包、严重性分布、补丁状态、SBOM 上下文，并导出 HTML、PDF、Markdown、JSON 和 CSV 格式的专业漏洞报告。 VulnTrack 完全在浏览器中运行。无需后端、无需服务器、无需数据库，也无需上传漏洞数据。 ## 为什么选择 VulnTrack？ Yocto 构建可以生成有用的漏洞数据，但原始的 `cve-summary.json` 输出并不总是易于审查、共享或用于发布决策。 VulnTrack 将 Yocto CVE 输出转化为可读的本地仪表板和可导出的安全报告，让团队能够快速了解： * 哪些包受 CVE 影响 * 哪些漏洞是严重 (Critical)、高 (High)、中 (Medium)、低 (Low) 或无 (None) * 哪些发现已被修补 (Patched)、未修补 (Unpatched) 或被忽略 (Ignored) * 哪些包对产品风险的影响最大 * 发布前应审查哪些内容 * 可以导出哪些证据用于安全审查或发布审批 与通用的漏洞管理平台不同，VulnTrack 专门针对 Yocto Project CVE 输出设计，并在浏览器本地运行，无需后端、数据库、账户或数据上传。 ## 主要功能 * 基于浏览器的 Yocto `cve-summary.json` 分析 * 无后端的纯本地漏洞审查 * 针对包、CVE、严重性和补丁状态的汇总仪表板 * 包级别的漏洞深入分析 * 以 CVE 为中心的问题视图 * 严重性和状态分布图表 * 包风险摘要 * 以修复为导向的报告部分 * 支持 HTML、PDF、Markdown、JSON 和 CSV 导出 * 支持 SBOM 分析 * 支持 SPDX 3.0.1 SBOM * 针对安全或许可证配置文件的 SBOM 审查自定义 * 适用于嵌入式 Linux 产品安全和发布就绪审查 ## 使用场景 VulnTrack 可用于： * Yocto `cve-summary.json` 分析 * Yocto CVE 报告可视化 * 嵌入式 Linux 漏洞审查 * 产品安全发布检查 * 针对基于 Yocto 的固件进行 CVE 分类 * 辅以 SBOM 的漏洞审查 * 用于发布就绪的安全审查报告 * 生成本地漏洞报告 * 面向 CRA 的漏洞管理证据 * 内部漏洞审查文档 ## 面向 CRA 的漏洞管理 VulnTrack 可以支持面向 CRA 的漏洞管理工作流，帮助基于 Yocto 的产品团队审查、优先排序和记录 CVE 发现，作为发布就绪和产品安全证据的一部分。 VulnTrack 本身并不是一个完整的 CRA 合规解决方案。它旨在为更广泛的安全开发和产品安全流程提供技术漏洞审查和报告支持。 ## 在线演示 在此处打开 VulnTrack 仪表板： https://prashantdivate.github.io/VulnTrack/ ## 快照 ### 摘要仪表板 ### 包视图 ### CVE 视图 --- ## VulnTrack 的工作原理 1. 从您的 Yocto 构建中生成 Yocto CVE 数据。 2. 在浏览器中打开 VulnTrack 仪表板。 3. 上传生成的 `cve-summary.json` 文件。 4. 审查“摘要”、“包”、“问题”、“来源”、“产品与修复”以及 SBOM 视图。 5. 检查 CVE 详细信息和受影响的包。 6. 以 HTML、PDF、Markdown、JSON 或 CSV 格式导出报告。 7. 将导出的报告用于审查、发布就绪或内部文档。 所有处理均在浏览器本地完成。 ## Yocto CVE 数据生成 在您的 Yocto 构建 `build/conf/local.conf` 文件中添加以下配置： ``` INHERIT += " cve-check create-spdx " CVE_SOCKET_TIMEOUT = "180" include conf/distro/include/cve-extra-exclusions.inc ``` 构建完成后，使用生成的 Yocto CVE 摘要 JSON 文件配合 VulnTrack 使用。 预期的输入文件通常为： ``` cve-summary.json ``` ## SBOM 分析 VulnTrack 还支持对 Yocto 生成的 SPDX 数据进行 SBOM 审查。 要分析 SBOM： 1. 打开 VulnTrack 仪表板。 2. 点击 SBOM 标签页。 3. 点击 Choose SBOM。 4. 上传生成的 SPDX JSON 文件。 5. 点击单个组件以检查详细信息。 支持的 SBOM 方向： * Yocto 生成的 SPDX JSON * 面向现代 SPDX 3.0.1 的分析 * 组件级别的审查 * 安全或许可证配置文件自定义 ## 报告导出支持 VulnTrack 可以导出多种格式的漏洞审查数据： | 格式 | 用途 | | -------- | ---------------------------------------------- | | HTML | 可共享的基于浏览器的漏洞报告 | | PDF | 用于审查、签字或归档的专业报告 | | Markdown | 用于 GitHub、工单或笔记的轻量级文本报告 | | JSON | 机器可读的摘要输出 | | CSV | 用于电子表格或跟踪的行级导出 | 导出的报告适用于内部产品安全审查、发布就绪检查和漏洞管理文档。 ## 本地运行 ### 选项 1：直接打开 在浏览器中直接打开 `index.html`。 ### 选项 2：运行本地服务器 ``` python3 -m http.server 8080 ``` 然后打开： ``` http://localhost:8080 ``` ## 目标受众 VulnTrack 专为以下人员设计： * 嵌入式 Linux 开发者 * Yocto Project 工程师 * Yocto 维护者 * 固件安全团队 * 产品安全工程师 * 安全审查员 * 合规支持团队 * 从事嵌入式 Linux 产品工作的网络安全分析师 ## 注意事项与局限性 默认情况下，Yocto CVE JSON 不包含所有外部漏洞智能字段。 可能需要外部丰富的数据示例： * EPSS * CISA KEV * 漏洞利用可用性 * ATT&CK 映射 * 特定供应商的影响分析 * 运行时可访问性 * 特定产品的可利用性评估 VulnTrack 侧重于让 Yocto CVE 和 SBOM 数据更易于审查、优先排序和报告。后续可以通过外部 API 或离线数据源添加额外的智能补充。 ## 路线图构想 未来可能的改进： * EPSS 补充 * CISA KEV 匹配 * CVE 趋势指标 * 漏洞利用情报补充 * 运行时暴露标记 * 更好的 SBOM 与 CVE 关联 * 发布比较报告 * 多报告比较 * 保存审查笔记 * 风险接受跟踪 * GitHub Actions 集成 * 离线漏洞数据库支持 ## 项目定位 VulnTrack 是一款本地优先的 Yocto 漏洞审查工具。 它最适合作为产品安全工作流的一部分，当团队需要审查 Yocto CVE 发现、了解受影响的包、记录发布风险，并在无需将敏感构建或产品数据上传到外部服务的情况下导出漏洞证据时使用。 ## 关键词 Yocto CVE dashboard, Yocto vulnerability report, Yocto cve-summary.json analyzer, embedded Linux vulnerability management, embedded Linux security dashboard, Yocto SBOM analysis, SPDX vulnerability review, CVE report exporter, PDF vulnerability report, HTML vulnerability report, product security evidence, CRA vulnerability management, Cyber Resilience Act, local vulnerability dashboard。 ## 许可证 该项目基于 MIT 许可证授权。有关详细信息，请参阅 [LICENSE](LICENSE) 文件。

标签：GPT, Yocto, 前端工具, 可视化看板, 后端开发, 多模态安全, 安全报告, 嵌入式Linux, 数据可视化, 漏洞管理