Vulncode-DB是一个漏洞数据库及其相应的源代码(如果可用)开源项目。数据库使用用户提供的有关补丁链接,易受攻击的代码片断和描述,信息扩展了NVD / CVE数据集。它由google维护并管理。主要实例托管在vulncode-db.com上。
请注意: Vulncode-DB不是官方支持的Google产品,这是一个实验性的alpha版本,主要用于演示目的。应用程序可能不可靠,包含许多错误,并且功能不完整。请相应地设定您的期望。
Vulncode-DB的目标
使真实世界的易受攻击代码示例普遍可用且有用。特定的子目标包括:
-
教育代码中的漏洞情况以及如何发现它们。详细展示漏洞的概况。曾经想提高您的代码审核能力吗?这可能会成为您可以开始这样做的地方。
-
针对工具和研究目的,在易受攻击(开源)代码上创建实际数据集。目前,似乎没有可用于此目的的高质量和真实数据。这些数据可能对静态源代码分析等研究领域有用。
Vulncode-DB数据来自哪里
数据库使用以下数据源:
-
NVD / CVE数据集 - 基本漏洞数据
-
github.com - 提交元数据和存储库内容
-
自定义* .git存储库 - 该项目也支持非Github存储库
-
用户提供的信息 - 补丁链接,易受攻击的代码偏移,描述等
为了提供有用的上下文,它扫描补丁引用并使相关的存储库内容直接可用。
请注意:目前禁用了贡献注释。请在此处查看有关预期界面的粗略演示。
Vulncode-DB使用的技术堆栈
-
语言:Python和JavaScript
-
框架:Flask(使用Jinja2进行模板化)
-
代码编辑器:Microsoft的Monaco代码编辑器
-
许多其他库来处理存储库和解析补丁(请参阅存储库内容)
Vulncode-DB下一阶段的规划
首先,我们希望看到对该项目的反馈和兴趣。然后计划:
-
自动化新漏洞的集成。
-
邀请第一批贡献者来创建带注释的条目。
-
向所有人开放(类似于维基百科设置)并部署内容审核。
-
允许在您的网站中创建和嵌入易受攻击的代码段,例如您自己的文章。
原文始发于微信公众号(菜鸟小新):开源漏洞数据库 – Vulncode-DB
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论