如何跟踪二进制文件中使用的安全漏洞？

Question

我有一个软件清单(SBOM) Excel文件，我想以某种方式跟踪其中的库和应用程序所报告的漏洞。我知道现在大多数SBOM跟踪都已经基本集成到构建过程中了，但是如果我们没有构建过程或者只有Excel文件或者二进制文件呢？我可以手动从二进制文件中提取库列表，但是我不知道基本上是否可以将软件列表提供给应用程序，并且每当库有CVE时(而不是集成到构建过程)，它就会提醒我。有什么办法吗？

我听说过CycloneDX和SLSA (https://github.com/slsa-framework/slsa)。但是，是否可以通过手动插入软件版本来进行跟踪？因为所有现有的工具似乎都只是用于构建过程，而对于我来说，唯一的方法就是加入bug跟踪网站邮件列表，并为我拥有的每个库设置一个过滤器。

有什么想法吗？

Answer 1

OWASP依赖项跟踪项目就是这样做的。您可以用所有组件加载CycloneDX SBOM，也可以在用户界面中手动添加它们。

由于Excel电子表格中已经存在依赖项，因此可以使用CycloneDX CLI工具将CSV格式转换为CycloneDX格式。尽管您需要调整列名以匹配它所期望的内容。

重要的部分是您正在使用的组件标识符和漏洞源。CPE很难使用，但它是NVD目前为CVEs支持的唯一组件标识符。但是OSS索引支持包URL，这对于SBOM用例更有用。