4.5 KiB
4.5 KiB
漏洞情报、订阅与自动入库
LAB ONLY|AUTHORIZED TARGETS ONLY|OFFICIAL-FIRST
本目录是主流开源 Web 系统安全更新与漏洞入库的控制平面。它不直接给出“生产推荐”,而是把官方公告、生态权威数据库和高质量研究映射到授权实验场景、registry 记录和重点案例页。
目录职责
- source-map.yaml
- 全库唯一真值配置,定义系统范围、覆盖策略、source adapter、输出目录和 secure-code 主题。
- registry/advisories/
- canonical advisory 级 JSON 记录,是“所有具体案例”的正式载体。
- registry/systems/
- 每个系统的统计索引、最近更新时间和案例列表。
- registry/triage/
- 无法自动确定版本、来源冲突或只有弱来源支持的候选。
- generated/coverage-matrix.md
- 全局覆盖矩阵,展示每个系统的 tier、registry 数、Markdown 数和自动同步状态。
- generated/latest-ingest.md
- 最近一次同步摘要。
- registry/source-confidence.md
official、ecosystem-authority、research、triage-only的入库规则。
Source Policy
自动化入库强制分层:
official- 厂商公告、官方 repo advisories、官方 RSS/API/JSON。
ecosystem-authority- Wordfence、Patchstack、WPScan、Sansec、Friends Of Presta、GitLab Advisory DB 等生态权威库。
research- PortSwigger、Project Zero、Orange Tsai、ProjectDiscovery 等高质量研究。
triage-only- 结构漂移、版本不清、来源冲突或只有单篇研究支撑的候选。
默认规则:
- 只有
official和ecosystem-authority可以直接形成 registry 正式记录。 research只能补充背景、利用链、实验映射,不能单独确认为正式案例。- 没有影响版本、修复版本或可信来源的条目进入
triage/,不计入“完成覆盖”。
自动化命令
python3 /Users/x/websafe/scripts/intel/main.py render
python3 /Users/x/websafe/scripts/intel/main.py validate
python3 /Users/x/websafe/scripts/intel/main.py hotlane
python3 /Users/x/websafe/scripts/intel/main.py ingest --since last-success
python3 /Users/x/websafe/scripts/intel/main.py reconcile
python3 /Users/x/websafe/scripts/intel/main.py backfill --tier rolling-24m --dry-run
python3 /Users/x/websafe/scripts/intel/main.py ingest --since 365d --system nextjs --system vite
python3 /Users/x/websafe/scripts/intel/main.py open-pr --dry-run
可选环境变量:
GITHUB_TOKEN- GitHub Global Advisories 在未认证状态下很容易碰到 rate limit;配置后能提高配额。
NVD_API_KEY- 可选,用于提高 NVD 查询配额和稳定性。
运行时建议:
- 使用独立虚拟环境安装 requirements-intel.txt。
- 当前机器上的 Python 3.9 + LibreSSL 对部分 HTTPS 源可能出现
SSLError;urllib3<2已写入依赖约束以降低兼容性问题。
对应的本机 cron 入口:
- run-hourly.sh
- 处理 KEV / 在野利用 / 极高优先级更新,日志写入
08-threat-intel/generated/logs/
- 处理 KEV / 在野利用 / 极高优先级更新,日志写入
- run-nightly.sh
- 处理常规增量同步
- run-weekly-reconcile.sh
- 回看最近 30 天,重新对齐 NVD / OSV / vendor 更新
入口文档
- subscription-catalog.md
- registry/source-confidence.md
- intake-and-severity-rules.md
- case-intake-template.md
- config-examples/README.md
实验边界
- 所有案例、source adapter 和索引页仅适用于
lab-local、lab-public、authorized-third-party。 - 允许公网可达目标,但前提必须是资产归属明确,或已获得明确授权。
- 不面向未授权互联网资产,不面向公共知名网站,不作为泛化枚举或生产推荐语境。