google/osv.dev

GitHub: google/osv.dev

由 Google 维护的开源漏洞数据库与分类服务,提供精确到版本区间的结构化漏洞信息和配套扫描工具。

Stars: 2512 | Forks: 293

[![OpenSSF Scorecard](https://api.securityscorecards.dev/projects/github.com/google/osv.dev/badge)](https://scorecard.dev/viewer/?uri=github.com/google/osv.dev) ## 文档 详细文档可在[此处](https://google.github.io/osv.dev)获取。 API 文档可在[此处](https://google.github.io/osv.dev/api/)获取。 ## 数据转储 我们从 GCS 存储桶 `gs://osv-vulnerabilities` 提供数据转储。有关更多信息,请查看[我们的文档](https://google.github.io/osv.dev/data/#data-dumps)。 ## 查看 Web UI OSV 的 Web UI 实例已部署在 。 ## 使用扫描器 我们提供了一个基于 Go 的工具,可以扫描你的依赖项,并通过 OSV API 在 OSV 数据库中检查是否存在已知的漏洞。 目前它能够扫描各种 lockfile、Debian Docker 容器、SPDX 和 CycloneDB SBOM,以及 Git 仓库。 该扫描器位于其[独立的仓库](https://github.com/google/osv-scanner)中。 ## 本仓库 本仓库包含在 GCP 上运行 https://osv.dev 的所有代码。这 包括: | 目录 | 内容 | |-----------------|------| | `bindings/` | [OSV API](https://google.github.io/osv.dev/api/) 的语言绑定(目前仅支持 Go) | | `deployment/` | Terraform 和 Cloud Deploy 配置文件
少量 Cloud Build 配置 yaml 文件 | | `docker/` | CI docker 文件(`ci`、`deployment`、`terraform`)
`gcp/workers/worker` 的 `worker-base` docker 镜像 | | `docs/` | https://google.github.io/osv.dev/ 的 Jekyll 文件
`build_swagger.py` 和 `tools.go` | | `gcp/api` | OSV API 服务器文件(包括本地 ESP 服务器的文件)
`/v1` 中的 protobuf 文件 | | `gcp/datastore` | Datastore 索引文件(`index.yaml`) | | `gcp/functions` | 用于发布 PyPI 漏洞的 Cloud Function(维护中,但非开发中) | | `gcp/indexer` | 判断版本的 `indexer` | | `gcp/website` | osv.dev Web 界面的后端,前端位于 `frontend3`
博客文章(位于 `blog`) | | `gcp/workers/` | 用于二分查找和影响分析的 Worker(`worker`、`importer`、`alias`)
用于数据库备份和处理 oss-fuzz 记录的 `cron/` 作业 | | `go/` | 用于共享库和命令的 Go 模块(`cmd/exporter`、`cmd/recordchecker`) | | `osv/` | 核心 OSV Python 库,基本上用于所有 Python 服务
`ecosystems/` 中的 OSV 生态系统包版本控制助手
`models.py` 中的 Datastore 模型定义 | | `tools/` | 杂项脚本/工具,主要用于开发(datastore 相关、linting)
用于索引器调用的 `indexer-api-caller` | | `vulnfeeds/` | (主要用于)NVD CVE 转换的 Go 模块
Alpine feed 转换器(`cmd/alpine`)
Debian feed 转换器(`tools/debian`,使用 Python 编写) | 你需要检出子模块,以便许多本地构建步骤能够 正常工作: ``` git submodule update --init --recursive ``` ## 贡献 欢迎贡献! 了解更多关于[代码](CONTRIBUTING.md#contributing-code)、[数据](CONTRIBUTING.md#contributing-data)和[文档](CONTRIBUTING.md#contributing-documentation)的贡献。 我们还有一个[邮件列表](https://groups.google.com/g/osv-discuss)。 你有问题或建议吗?请[提出 Issue](https://github.com/google/osv.dev/issues)。 ## 第三方工具和集成 还有一些使用 OSV 的社区工具。请注意,这些是由社区构建的 工具,因此不受核心 OSV 维护者的支持或认可。你可能希望 查阅 [OpenSSF 的评估开源软件简明指南](https://best.openssf.org/Concise-Guide-for-Evaluating-Open-Source-Software) 以确定其是否适合你的用途。一些流行的第三方工具有: - [Cortex XSOAR](https://github.com/demisto/content) - [dep-scan](https://github.com/AppThreat/dep-scan) - [Dependency-Track](https://github.com/DependencyTrack/dependency-track) - [GUAC](https://github.com/guacsec/guac) - [OSS Review Toolkit](https://github.com/oss-review-toolkit/ort) - [pip-audit](https://github.com/pypa/pip-audit) - [Renovate](https://github.com/renovatebot/renovate) - [Trivy](https://github.com/aquasecurity/trivy)
标签:CVE, DevSecOps, ECS, GCP, Google Cloud Platform, Go语言, GPT, OSV, REST API, SBOM分析, Svelte, Terraform, Vercel, 上游代理, 数字签名, 文档安全, 日志审计, 渗透测试辅助, 漏洞分类, 漏洞管理, 程序破解, 请求拦截, 软件开发工具包, 逆向工具