CVE Scanner

오픈소스 취약점 분석 스킬 - Open Source Vulnerability Scanner

🎯 개요

CVE Scanner는 오픈소스 소프트웨어의 보안 취약점을 분석하고 리포트를 생성하는 강력한 도구입니다. NVD(NIST), OSV.dev(Google), GitHub Advisory 3개 데이터 소스에서 CVE 취약점을 조회하여 최신 버전 정보와 함께 보안 리포트를 제공합니다.

✨ 주요 기능

🔍 다중 CVE 데이터 소스

• NVD (NIST) - 미국 국가 취약점 데이터베이스
• OSV.dev (Google) - 오픈소스 전용 취약점 DB
• GitHub Advisory - GitHub 보안 권고

📦 지원 생태계

• npm (Node.js)
• PyPI (Python)
• Maven (Java)
• Go (Golang)
• crates.io (Rust)
• RubyGems (Ruby)
• Packagist (PHP)
• NuGet (.NET)

📄 지원 파일 형식

• package.json / package-lock.json
• requirements.txt / Pipfile.lock
• pom.xml / build.gradle
• go.mod / go.sum
• Cargo.lock
• composer.lock
• Gemfile.lock

📊 출력 형식

• Markdown - 가독성 좋은 문서 형식
• Excel - 스프레드시트 분석용
• CSV - 데이터 처리용
• JSON - 프로그래밍 연동용

🚀 빠른 시작

설치

# 저장소 클론 또는 스킬 디렉토리로 이동
cd ~/.openclaw/workspace/skills/cve-scanner

# 의존성 설치
pip install -r requirements.txt

기본 사용법

단일 패키지 스캔

# 기본 스캔
./cve-scanner "log4j-core" "2.14.0"

# 심각도 필터링
./cve-scanner "openssl" "1.1.1k" --severity HIGH,CRITICAL

# JSON 출력
./cve-scanner "spring-framework" "5.3.18" --output json

의존성 파일 스캔

# package.json 스캔
./cve-scanner --file package.json

# requirements.txt 스캔 (엑셀 출력)
./cve-scanner --file requirements.txt --output excel

# pom.xml 스캔 (CRITICAL만)
./cve-scanner --file pom.xml --severity CRITICAL

📖 사용 예시

예시 1: Log4j 취약점 분석

$ ./cve-scanner "log4j-core" "2.14.0"

# CVE Scanner 취약점 분석 리포트

## 📦 log4j-core

| 항목 | 내용 |
|------|------|
| 현재 버전 | 2.14.0 |
| 최신 버전 | 2.23.1 |
| 발견 CVE 수 | 3건 |

### 취약점 목록

| CVE ID | 심각도 | CVSS | 설명 |
|--------|--------|------|------|
| CVE-2021-44228 | 🔴 CRITICAL | 10.0 | Log4Shell - JNDI 기능 원격 코드 실행 취약점 |
| CVE-2021-45046 | 🔴 CRITICAL | 9.0 | DoS 취약점 |
| CVE-2021-45105 | 🟠 HIGH | 7.5 | 스택 추적 정보 누출 |

### 🔄 업그레이드 권고
- **긴급도**: 🔴 CRITICAL - 즉시 업그레이드 권장
- **최소 권장 버전**: `2.17.1`
- **최신 버전**: `2.23.1`

예시 2: 프로젝트 전체 의존성 감사

$ ./cve-scanner --file package.json --output excel

패키지 분석 중... (150개 패키지)
CVE 조회 중... (NVD, OSV, GitHub Advisory)

Report saved to: cve-scanner-report-20260309-170500.xlsx

⚙️ 옵션

옵션	설명	기본값
package	패키지 이름	-
version	현재 버전	-
--file, -f	의존성 파일 경로	-
--ecosystem, -e	생태계 지정 (npm, PyPI, Maven 등)	자동 감지
--severity, -s	심각도 필터 (CRITICAL,HIGH,MEDIUM,LOW)	전체
--output, -o	출력 형식 (markdown, excel, json, csv)	markdown
--no-cache	캐시 사용 안 함	캐시 사용
--nvd-key	NVD API 키	-
--github-token	GitHub 토큰	-

🔑 API 키 설정 (선택)

NVD API 키

NVD API 키를 사용하면 Rate Limit이 30초당 5건에서 50건으로 증가합니다.

# 환경 변수 설정
export NVD_API_KEY="your-nvd-api-key"

# 또는 명령줄에서 지정
./cve-scanner "package" "version" --nvd-key "your-key"

NVD API 키 신청: https://nvd.nist.gov/developers/request-an-api-key

GitHub 토큰

GitHub 토큰을 사용하면 Advisory API Rate Limit이 60건/시간에서 5,000건/시간으로 증가합니다.

# 환경 변수 설정
export GITHUB_TOKEN="your-github-token"

# 또는 명령줄에서 지정
./cve-scanner "package" "version" --github-token "your-token"

GitHub 토큰 생성: https://github.com/settings/tokens

🏗️ 아키텍처

cve-scanner/
├── SKILL.md                    # 스킬 메타데이터
├── README.md                   # 이 파일
├── requirements.txt            # Python 의존성
├── cve-scanner                 # CLI 래퍼 스크립트
└── scripts/
    ├── cve-scanner.py          # 메인 진입점
    ├── cve_sources/            # CVE 데이터 소스
    │   ├── __init__.py
    │   ├── nvd_api.py          # NVD API 클라이언트
    │   ├── osv_api.py          # OSV.dev API 클라이언트
    │   └── github_advisory.py  # GitHub Advisory API 클라이언트
    ├── parsers/                # 의존성 파일 파서
    │   ├── __init__.py         # 모든 파서 구현
    │   └── ...
    └── utils/                  # 유틸리티
        ├── __init__.py
        ├── version_compare.py  # 버전 비교 로직
        └── report_generator.py # 리포트 생성기

🔧 개발

테스트 실행

# 단일 패키지 테스트
python3 scripts/cve-scanner.py "lodash" "4.17.15"

# 파일 파싱 테스트
python3 scripts/cve-scanner.py --file test_package.json

새 파서 추가

scripts/parsers/__init__.py에 새 파서 클래스를 추가하세요:

class MyParser(BaseParser):
    def parse(self, file_path: str) -> List[Dict]:
        # 파싱 로직 구현
        return dependencies

# PARSERS 딕셔너리에 등록
PARSERS['my-file.lock'] = MyParser

📈 성능 고려사항

• 단일 패키지: 10초 이내 완료 목표
• 대량 스캔 (100개+): 배치 처리 + 진행률 표시
• API Rate Limit: 요청 간 적절한 딜레이 자동 삽입
• 캐싱: 동일 세션 내 조회한 패키지 재조회 방지

⚠️ 주의사항

1. API Rate Limit: NVD, GitHub API는 Rate Limit이 있습니다. 대량 스캔 시 API 키 사용을 권장합니다.
2. 버전 형식: SemVer를 따르는 버전 형식을 권장합니다. 일부 프로젝트는 커스텀 버전 형식을 사용할 수 있습니다.
3. 생태계 감지: 자동 감지가 실패할 수 있습니다. 이 경우 --ecosystem 옵션을 사용하세요.
4. 네트워크: 인터넷 연결이 필요합니다.

🤝 기여

버그 리포트, 기능 제안, 풀 리퀘스트를 환영합니다!

📄 라이선스

MIT License

📚 참고 자료

• NVD API Documentation
• OSV.dev API Documentation
• GitHub Advisory API
• CVSS v3.1 Specification