Noumenon-ai/cve-guard

# CVE-Guard **阻止 AI 编写带有漏洞的代码。** 一条命令。零 API 调用。完全离线运行。 ``` $ cve-guard scan ./my-project ```    ## 为什么开发此工具 AI 生成的代码比人类编写的代码多 1.7 倍的漏洞。 Copilot、Cursor 和 Claude 不会检查它们建议的 package 是否存在已知的 CVE。但 cve-guard 会检查。 在你 commit 之前运行它。在 CI 中运行它。让你安心睡眠。 ## 安装 ``` pip install cve-guard ``` ## 用法 ``` # 扫描项目目录 cve-guard scan ./my-project # 仅显示 critical 和 high 严重级别 cve-guard scan --severity critical # 检查单个 package cve-guard check react 18.2.0 # 用于 CI/CD 的 JSON 输出 cve-guard scan --format json # 显示修复命令 cve-guard scan --fix # 查看完整的 CVE 数据库 cve-guard db ``` ## 输出 ``` CVE-GUARD — Vulnerability Scanner v1.0.1 Scanning: ./my-nextjs-app/package.json Found: 24 dependencies CRITICAL VULNERABILITIES Package CVE CVSS Installed Fix next CVE-2025-29927 9.1 15.1.4 >= 15.2.3 react-server-dom-webpack CVE-2025-55182 10.0 19.2.0 >= 19.2.1 MEDIUM VULNERABILITIES Package CVE CVSS Installed Fix axios CVE-2023-45857 6.5 1.4.0 >= 1.6.0 Summary: 2 critical | 1 medium Fix commands: npm install next@15.2.3 react-server-dom-webpack@19.2.1 axios@1.6.0 ``` ## 当前可检测的 CVE 每一条记录都经过 MITRE 和/或 GitHub Advisory Database 的验证。 | Package | CVE / Advisory | CVSS | Severity | Fixed in | |---------|----------------|------|----------|----------| | react-server-dom-webpack / -turbopack / -parcel | CVE-2025-55182 | 10.0 | CRITICAL | 19.0.1 / 19.1.2 / 19.2.1 | | next | CVE-2025-29927 | 9.1 | CRITICAL | 15.2.3 / 14.2.25 / 13.5.9 / 12.3.5 | | golang.org/x/crypto | CVE-2024-45337 | 9.1 | CRITICAL | 0.31.0 | | react-router | CVE-2025-59057 | 7.6 | HIGH | 7.9.0 | | flask | CVE-2023-30861 | 7.5 | HIGH | 2.3.2 / 2.2.5 | | cryptography | CVE-2024-26130 | 7.5 | HIGH | 42.0.4 | | rack | CVE-2026-34829 | 7.5 | HIGH | 3.2.6 / 3.1.21 / 2.2.23 | | nokogiri | GHSA-c4rq-3m3g-8wgx | 7.5 | HIGH | 1.19.3 | | rustls | CVE-2024-32650 | 7.5 | HIGH | 0.23.5 / 0.22.4 / 0.21.11 | | lodash | CVE-2021-23337 | 7.2 | HIGH | 4.17.21 | | pillow | CVE-2024-28219 | 6.7 | HIGH | 10.3.0 | | axios | CVE-2023-45857 | 6.5 | MEDIUM | 1.6.0 / 0.28.0 | | jsonwebtoken | CVE-2022-23540 | 6.4 | MEDIUM | 9.0.0 | | express | CVE-2024-29041 | 6.1 | MEDIUM | 4.19.2 | | requests | CVE-2024-35195 | 5.6 | MEDIUM | 2.32.0 | | django | CVE-2024-45231 | 3.7 | MEDIUM | 5.1.1 / 5.0.9 / 4.2.16 | ## 支持的语言 - **JavaScript/Node.js** — package.json - **Python** — requirements.txt, pyproject.toml - **Ruby** — Gemfile - **Go** — go.mod - **Rust** — Cargo.toml 支持解析以上所有五种 manifest 格式。内置数据库目前在 JavaScript 和 Python 方面覆盖最为深入，并包含针对 Ruby (rack, nokogiri)、Go (golang.org/x/crypto) 和 Rust (rustls) 的已验证记录。 ## CI/CD 集成 ### GitHub Action ``` name: CVE Guard on: [push, pull_request] jobs: scan: runs-on: ubuntu-latest steps: - uses: actions/checkout@v4 - run: pip install cve-guard - run: cve-guard scan . --format json --severity high ``` ### Pre-commit Hook ``` repos: - repo: https://github.com/noumenon-ai/cve-guard rev: v1.0.0 hooks: - id: cve-guard name: CVE Guard entry: cve-guard scan language: python pass_filenames: false ``` ## 许可证 MIT ## NOUMENON 生态系统的一部分。 NOUMENON 是一个多智能体 AI 构建系统，在编写任何一行代码之前，智能体会对最佳方案进行辩论。 由 [Noumenon](https://github.com/Noumenon-ai) 构建

标签：CLI应用, LNA, Python, 依赖安全, 无后门, 离线工具, 逆向工具