travis-burmaster/oss-security-kb
GitHub: travis-burmaster/oss-security-kb
追踪主流开源生态中高下载量包的安全审计覆盖情况的公开知识库,记录谁审计了什么、用了什么方法、发现了什么或没发现什么。
Stars: 0 | Forks: 1
# OSS 安全知识库
[](LICENSE)
[](https://travis-burmaster.github.io/oss-security-kb/)
一个公开的、由 LLM 维护的知识库,追踪所有主要生态系统中下载量最高的开源包的**安全审计覆盖情况**。
## 为什么会有这个项目
所有主要的漏洞数据库(OSV、NVD、Snyk、GitHub Advisory)都是在漏洞被发现*之后*才进行追踪。它们都无法回答:
一个包每周下载量达到 5000 万次的维护者,根本无法知道是否有人系统地检查过他们代码中的 RCE、原型链污染、路径遍历或供应链攻击。这个知识库填补了这一空白。
## 追踪内容
对于每个包:
- 📦 **下载统计数据** —— 来自 registry API 的每周/每月下载量
- 🔍 **审计历史** —— 谁进行了检查、何时检查、检查范围是什么、采用了什么方法论
- 🐛 **审计发现** —— 发现的 bug(附带 issue/CVE 链接),以及*未*发现的 bug(这同样重要)
- 🔒 **安全态势** —— 漏洞披露策略、安全联系方式、上次已知审查
- 🕸️ **依赖风险** —— 传递依赖、已知存在漏洞的依赖项
## 覆盖的生态系统
| 生态系统 | Registry | 追踪的 Top-N |
|-----------|----------|---------------|
| JavaScript/Node | npm | Top 200 |
| Rust | crates.io | Top 100 |
| .NET | NuGet | Top 100 |
| Python | PyPI | Top 100 |
| Go | pkg.go.dev | Top 100 |
| macOS | Homebrew | Top 100 |
| Kubernetes | CNCF/k8s.io | 核心组件 |
| Linux | 发行版软件包 | 核心系统库 |
## 结构
```
raw/ ← Immutable source documents (audit reports, CVE writeups, researcher posts)
wiki/
index.md ← Master searchable index (LLM-maintained)
log.md ← Append-only ingest/audit log
TEMPLATE.md ← Canonical page template / stub starting point
npm/ ← Package pages + ecosystem landing page
rust/
dotnet/
python/
go/
homebrew/
kubernetes/
linux/
SCHEMA.md ← LLM wiki maintenance instructions
CONTRIBUTING.md ← Contributor workflow and evidence standards
SECURITY.md ← Security reporting process for this repo
```
## 如何使用
**对于维护者:** 在 wiki 中搜索您的包。如果找不到或者显示“未审计”——这本身就是一个数据点。建议考虑委托进行一次审计,或者联系安全研究人员。
**对于安全研究人员:** 在完成一次审计后(无论是否有发现),提交一个 PR 来添加或更新该包的 wiki 页面。零发现的审计同样有价值——它们确立了基准覆盖率。
**对于开发者:** 在添加依赖项之前,请在此处查看其审计历史,并结合其 CVE 历史记录进行评估。
## 与现有数据库的关系
这**不**是 OSV、NVD 或 Snyk 的替代品。它是一个建立在它们之上的**覆盖层**——追踪的是研究过程,而不仅仅是结果。
| 数据库 | 追踪内容 | 本知识库追踪内容 |
|----------|--------|----------------|
| OSV.dev | 已知的 CVE | 是否进行过审计 |
| Snyk | 已知的 CVE + 许可证 | 审计范围 + 方法论 |
| socket.dev | 行为异常 | 历史研究覆盖率 |
| **本知识库** | — | **谁进行了检查、何时检查、他们发现或未发现什么** |
## 网站
可搜索的 Web 界面发布在 **[travis-burmaster.github.io/oss-security-kb](https://travis-burmaster.github.io/oss-security-kb/)**(每次推送时从 `wiki/` 构建生成)。GitHub 仓库是事实来源;网站是一个只读视图。
## 许可证
本知识库的内容采用 [CC BY 4.0](LICENSE) 许可。您可以自由使用、在此基础上构建、引用它——请注明来源。
*由 [Travis Burmaster](https://github.com/travis-burmaster) 在 LLM 的协助下维护。不隶属于任何 CVE 权威机构或标准机构。具体实践请参阅 [METHODOLOGY.md](METHODOLOGY.md)。*
标签:C2, Ruby, 后端开发, 安全态势, 漏洞审计, 知识库, 防御加固