aboutcode-org/vulnerablecode

# VulnerableCode VulnerableCode 是一个包含软件包漏洞信息的数据库，提供 Web UI 和 API 接口。 # 为什么使用 VulnerableCode？ VulnerableCode 提供了一个 Web UI 和 API，用于访问包含已知软件包漏洞信息的数据库，这些信息来源于上游和下游的公共资源，包括受漏洞影响的软件包以及修复漏洞的软件包。 这里有一个 `公共 VulnerableCode 数据库 `_，该项目还提供了用于构建你自己的数据库实例的工具。 # 快速开始 在本地机器上快速上手的说明位于 `Getting Started `_。 VulnerableCode 文档还提供了以下内容： - 安装软件的前置条件。 - 用户界面的介绍。 - 如何使用 API。 - 添加新数据管道以导入和改进安全公告的教程。 - 关于 VulnerableCode 数据的详细参考信息。 - 贡献代码开发的指南。 # 构建与测试状态 |Build Status| |Code License| |Data License| |Python 3.8+| |stability-wip| |Gitter chat| .. |Build Status| image:: https://github.com/nexB/vulnerablecode/actions/workflows/main.yml/badge.svg?branch=main :target: https://github.com/nexB/vulnerablecode/actions?query=workflow%3ACI .. |Code License| image:: https://img.shields.io/badge/Code%20License-Apache--2.0-green.svg :target: https://opensource.org/licenses/Apache-2.0 .. |Data License| image:: https://img.shields.io/badge/Data%20License-CC--BY--SA--4.0-green.svg :target: https://creativecommons.org/licenses/by-sa/4.0/legalcode .. |Python 3.8+| image:: https://img.shields.io/badge/python-3.8+-green.svg :target: https://www.python.org/downloads/release/python-380/ .. |stability-wip| image:: https://img.shields.io/badge/stability-work_in_progress-lightgrey.svg .. |Gitter chat| image:: https://badges.gitter.im/gitterHQ/gitter.png :target: https://gitter.im/aboutcode-org/vulnerablecode # VulnerableCode 的优势 VulnerableCode 是一个免费且开源的软件包漏洞数据库，**因为开源软件的漏洞数据和工具本身也应该是免费且开源的**。 - 漏洞数据库传统上是专有性质的，即使它们所涉及的是免费开源软件。 - 漏洞数据库也常常包含大量低价值数据，这意味着会产生大量需要专家审核的误报信号。 - 漏洞数据库也大多以漏洞为中心，而非软件包为中心，这使得难以判断某个漏洞是否适用于某段代码。VulnerableCode 的重点是软件包，其中软件包 URL（PURL）是识别软件包的关键且自然的标识符；这使得查找软件包及其是否易受攻击变得更加容易。 PURL 最初是为 ScanCode 和 VulnerableCode 设计的，现在已成为漏洞管理和软件包引用的 `标准 `_。 VulnerableCode 的技术栈基于 Python、Django、PostgreSQL、nginx 和 Docker，并使用了多种第三方库。 # 支持 如果你有具体问题、建议或错误，请提交一个 `GitHub issue `_。 对于快速问题或社交交流，可以加入 AboutCode 社区讨论：`Slack `_。 如需商业支持，请联系 `AboutCode 团队 `_。 # 许可证 * `Apache-2.0 `_ 是总体许可证。 * `CC-BY-SA-4.0 `_ 适用于参考数据集。 * 还有多个次要的宽松或复制左许可证（LGPL、MIT、 BSD、GPL 2/3 等）适用于第三方组件和测试套件代码及数据。 # 致谢、资金支持、回馈与赞助 .. |ngizerocommons| image:: https://nlnet.nl/image/logos/NGI0_tag.svg :target: https://nlnet.nl/commonsfund/ :height: 40 :alt: NGI Zero Commons Logo .. |ngizeropet| image:: https://nlnet.nl/image/logos/NGI0PET_tag.svg :target: https://nlnet.nl/PET :height: 40 :alt: NGI Zero PET logo .. |ngizeroentrust| image:: https://nlnet.nl/image/logos/NGI0Entrust_tag.svg :target: https://nlnet.nl/entrust :height: 38 :alt: NGI Zero Entrust logo .. |ngiassure| image:: https://nlnet.nl/image/logos/NGIAssure_tag.svg :target: https://nlnet.nl/image/logos/NGIAssure_tag.svg :height: 32 :alt: NGI Assure logo .. |ngidiscovery| image:: https://nlnet.nl/image/logos/NGI0Discovery_tag.svg :target: https://nlnet.nl/discovery/ :height: 40 :alt: NGI Discovery logo

标签：aboutcode, Apache-2.0, API, CC BY-SA 4.0, NLnet, Python, Python 3.8, TCP SYN 扫描, vulnerablecode, Web UI, XML注入, XSS, 公共数据库, 安全数据, 开源框架, 持续集成, 数据库, 数据管道, 无后门, 测试用例, 漏洞修复, 漏洞修复建议, 漏洞关联, 漏洞分析, 漏洞情报, 漏洞报告, 漏洞查询, 漏洞聚合, 漏洞跟踪, 网络安全培训, 请求拦截, 路径探测, 软件工程, 软件漏洞, 逆向工具