CycloneDX/Sunshine
GitHub: CycloneDX/Sunshine
Sunshine 是一个将 CycloneDX SBOM 数据可视化并集成漏洞情报的工具,帮助用户高效分析软件成分与风险。
Stars: 113 | Forks: 14
```
░██████ ░██ ░██ ░███ ░██ ░██████ ░██ ░██ ░██████░███ ░██ ░███████
░██ ░██ ░██ ░██░██ ░██ ░██ ░██ ░██ ░██ ░██░██ ░██ ░██
░████████ ░██ ░██ ░██ ░██ ░██ ░████████ ░██████████ ░██ ░██ ░██ ░██ ░██████
░██ ░██ ░██ ░██ ░██░██ ░██ ░██ ░██ ░██ ░██ ░██░██ ░██
░██████ ░██████ ░██ ░███ ░██████ ░██ ░██ ░██████░██ ░███ ░███████
```
Sunshine:可操作的 CycloneDX 可视化工具。
它接收 JSON CycloneDX 文件作为输入,并生成包含组件、依赖项、漏洞和许可证的图表与表格的 HTML 输出。此外,它还可以通过添加 EPSS 和 CISA KEV 信息来丰富数据。请查看示例 HTML 输出:[此处为不含丰富数据的版本](https://cyclonedx.github.io/Sunshine/sample.html) 和 [此处为含丰富数据的版本](https://cyclonedx.github.io/Sunshine/sample_enriched.html)。
可通过两种方式使用: - 作为网络应用程序:所有提交的数据均在您的浏览器本地处理,不会传输到其他任何地方。 - 作为独立的命令行工具。
网络应用程序的使用方式: - 选项一:通过在线版本访问 URL https://cyclonedx.github.io/Sunshine/ - 选项二:运行 `python3 -m http.server 8000` 并在浏览器中打开 URL http://127.0.0.1:8000
命令行版本的使用方式: ``` # 安装依赖项 pip3 install -r requirements.txt # 无数据丰富化的基本用法 python sunshine.py -i your-input.json -o your-output.html # 使用 EPSS 和 CISA KEV 数据丰富化的基本用法 python sunshine.py -i your-input.json -o your-output.html -e # 所有选项 sunshine.py [-h] [-i INPUT] [-o OUTPUT] [-e] [-k] [-cs] [-hs] [-ms] [-ls] [-c MIN_CVSS] [-p MIN_EPSS] [-n] options: -h, --help show this help message and exit -i, --input INPUT path of input CycloneDX file -o, --output OUTPUT path of output HTML file -e, --enrich enrich CVEs with EPSS and CISA KEV -k, --only-in-cisa-kev show only vulnerabilities in CISA KEV -cs, --only-critical-severity show only vulnerabilities with critical severity -hs, --only-high-severity-or-above show only vulnerabilities with high severity or above -ms, --only-medium-severity-or-above show only vulnerabilities with medium severity or above -ls, --only-low-severity-or-above show only vulnerabilities with low severity or above -c, --min-cvss MIN_CVSS show only vulnerabilities with score equal to or greater than the selected value, which can be in rage 0.0-10.0 -p, --min-epss MIN_EPSS show only vulnerabilities with EPSS equal to or greater than the selected value, which can be in rage 0.00-1.00 -n, --no-segment-limit prevent the automatic conversion of charts with many segments into still images -nl, --no-logo prevent the display of the banner logo on startup ```
致谢: - 开发者:[卢卡·卡帕奇](https://www.linkedin.com/in/lucacapacci/) - 贡献者:[马蒂亚·费罗](https://www.linkedin.com/in/mattiafierro/)
它接收 JSON CycloneDX 文件作为输入,并生成包含组件、依赖项、漏洞和许可证的图表与表格的 HTML 输出。此外,它还可以通过添加 EPSS 和 CISA KEV 信息来丰富数据。请查看示例 HTML 输出:[此处为不含丰富数据的版本](https://cyclonedx.github.io/Sunshine/sample.html) 和 [此处为含丰富数据的版本](https://cyclonedx.github.io/Sunshine/sample_enriched.html)。
可通过两种方式使用: - 作为网络应用程序:所有提交的数据均在您的浏览器本地处理,不会传输到其他任何地方。 - 作为独立的命令行工具。
网络应用程序的使用方式: - 选项一:通过在线版本访问 URL https://cyclonedx.github.io/Sunshine/ - 选项二:运行 `python3 -m http.server 8000` 并在浏览器中打开 URL http://127.0.0.1:8000
命令行版本的使用方式: ``` # 安装依赖项 pip3 install -r requirements.txt # 无数据丰富化的基本用法 python sunshine.py -i your-input.json -o your-output.html # 使用 EPSS 和 CISA KEV 数据丰富化的基本用法 python sunshine.py -i your-input.json -o your-output.html -e # 所有选项 sunshine.py [-h] [-i INPUT] [-o OUTPUT] [-e] [-k] [-cs] [-hs] [-ms] [-ls] [-c MIN_CVSS] [-p MIN_EPSS] [-n] options: -h, --help show this help message and exit -i, --input INPUT path of input CycloneDX file -o, --output OUTPUT path of output HTML file -e, --enrich enrich CVEs with EPSS and CISA KEV -k, --only-in-cisa-kev show only vulnerabilities in CISA KEV -cs, --only-critical-severity show only vulnerabilities with critical severity -hs, --only-high-severity-or-above show only vulnerabilities with high severity or above -ms, --only-medium-severity-or-above show only vulnerabilities with medium severity or above -ls, --only-low-severity-or-above show only vulnerabilities with low severity or above -c, --min-cvss MIN_CVSS show only vulnerabilities with score equal to or greater than the selected value, which can be in rage 0.0-10.0 -p, --min-epss MIN_EPSS show only vulnerabilities with EPSS equal to or greater than the selected value, which can be in rage 0.00-1.00 -n, --no-segment-limit prevent the automatic conversion of charts with many segments into still images -nl, --no-logo prevent the display of the banner logo on startup ```
致谢: - 开发者:[卢卡·卡帕奇](https://www.linkedin.com/in/lucacapacci/) - 贡献者:[马蒂亚·费罗](https://www.linkedin.com/in/mattiafierro/)
标签:CISA KEV, CycloneDX, EPSS, GPT, HTML图表, JSON处理, SBOM可视化, TLS抓取, 依赖关系图, 可视化工具, 后端开发, 多模态安全, 安全分析工具, 数据丰富, 数据可视化, 漏洞管理, 组件分析, 许可证合规, 跌倒检测, 软件安全, 软件物料清单, 逆向工具