Supermap CVE漏洞分析技能
概述
本技能用于分析Java和JavaScript组件的CVE(通用漏洞披露)漏洞,提供误报判断、兼容性风险评估和升级建议。技能遵循系统化工作流程,确保分析的一致性和准确性。
工作流程
执行CVE漏洞分析时,遵循以下步骤:
-
获取CVE详情
- 从NVD(国家漏洞数据库)API获取漏洞详细信息
- 提取漏洞描述、CVSS评分、影响范围等关键信息
-
误报分析
- 检查GitHub issues仓库中的误报报告:
- 比较CVE描述中提到的仓库地址与受影响对象的仓库地址
- 检查受影响对象仓库中的issues、公告和声明
-
误报判断标准
- 如果满足以下任一条件,判断为误报:
- GitHub issues中提到了CVE误报,且issues中的对象与提供的对象相匹配
- CVE漏洞描述中提到的仓库地址与被疑似误报的仓库地址不是同一个
- 被疑似误报对象的仓库中的issues、公告、声明中明确表示这不是一个误报
- 如果不满足以上条件,判断为真实漏洞
- 如果满足以下任一条件,判断为误报:
-
升级可行性分析
- 查找可用的安全更新版本
- 分析版本升级的兼容性风险
- 提供具体的升级建议
-
生成标准报告
- 按照预设模板生成详细分析报告
- 包含证据链接和具体建议
误报分析详细指南
GitHub Issues搜索
- 使用GitHub API或web搜索查找相关issues
- 搜索关键词:CVE编号 + "false positive" + 受影响对象名称
- 检查issue状态:open/closed、评论内容、解决方案
仓库地址比对
- 从CVE描述中提取提到的仓库URL
- 获取受影响对象的实际仓库URL(从pom.xml、package.json等)
- 比较两个URL是否指向同一仓库
官方声明核实
- 检查受影响对象仓库的Security Advisories
- 查看RELEASES.md、CHANGELOG.md等文件
- 搜索仓库中的安全公告和漏洞声明
兼容性风险评估规则
评估版本升级的兼容性风险:
| 版本变更类型 | 风险等级 | 说明 |
|---|---|---|
| 大版本变更 | 高风险 | 如9.3.2变更为11.3.8,可能涉及重大API变更和架构调整 |
| 中间版本变更 | 中风险 | 如5.3.39变更为5.4.0,存在值得注意的兼容性问题 |
| 小版本变更 | 低风险 | 如5.3.39变更为5.3.40,通常只包含bug修复和安全更新 |
风险评估指导
- 高风险:建议进行全面的测试,检查API变更、配置变更和依赖关系
- 中风险:建议检查主要功能,关注变更日志中的破坏性变更
- 低风险:可以直接升级,但仍建议进行基本功能测试
输出格式模板
始终使用以下标准报告格式:
# CVE漏洞分析报告
## 执行摘要
[概述:是否误报、风险等级、关键发现]
## 漏洞详情
- **CVE编号**:[CVE编号]
- **漏洞描述**:[简要描述]
- **CVSS评分**:[评分及严重等级]
- **受影响对象**:[提供的对象名称和版本]
- **影响范围**:[受影响版本范围]
## 误报分析
### GitHub Issues检查
- [是否找到相关issues]
- [issues内容摘要]
- [链接]
### 仓库地址比对
- CVE描述中提到的仓库:[URL]
- 受影响对象的实际仓库:[URL]
- 比对结果:[是否一致]
### 官方声明核实
- [是否找到相关公告]
- [公告内容摘要]
- [链接]
### 误报判断
- **结论**:[是误报/不是误报]
- **判断依据**:[详细说明]
## 升级建议
### 可用安全版本
- [推荐升级到的版本]
- [其他可选版本]
### 兼容性风险评估
- **当前版本**:[版本号]
- **目标版本**:[版本号]
- **版本变更类型**:[大/中/小版本变更]
- **风险等级**:[高/中/低]
- **风险评估说明**:[详细说明]
### 具体升级建议
- [具体的升级步骤]
- [需要注意的事项]
- [测试建议]
## 参考链接
- [相关GitHub issues链接]
- [安全公告链接]
- [官方文档链接]
- [其他相关资源]
资源使用
scripts/ 目录
包含可执行脚本,用于自动化分析任务:
fetch_cve_details.py- 从NVD API获取CVE详情check_github_issues.py- 搜索GitHub issuesanalyze_version_compatibility.py- 分析版本兼容性generate_report.py- 生成标准报告
references/ 目录
包含详细参考文档:
cve_analysis_workflow.md- 完整工作流程详解false_positive_criteria.md- 误报判断标准详细说明compatibility_risk_assessment.md- 兼容性风险评估指南
assets/ 目录
包含报告模板和其他资源文件
注意事项
- 数据来源验证:始终验证从外部API获取的数据的准确性
- 版本识别:准确识别受影响对象的版本号,避免误判
- 风险沟通:明确传达兼容性风险,提供缓解建议
- 链接时效性:提供的参考链接应确保可访问和最新
- 安全边界:仅分析公开信息,不尝试主动探测漏洞
工具使用建议
- 使用WebFetch工具获取NVD API响应
- 使用Bash工具执行脚本和命令行操作
- 使用GitHub API时注意速率限制
- 优先使用官方文档和公告作为信息源