CVE详细信息API，按组件获取漏洞

Question

我需要按组件获取JSON格式的漏洞，但是我通过使用CVE细节API所得到的只是单个漏洞，其中没有组件或其他东西，只能描述。

下面是链接的一个例子

http://www.cvedetails.com/json-feed.php?numrows=10&vendor_id=0&product_id=0&version_id=0&hasexp=0&opec=0&opov=0&opcsrf=0&opfileinc=0&opgpriv=0&opsqli=0&opxss=0&opdirt=0&opmemc=0&ophttprs=0&opbyp=0&opginf=0&opdos=0&orderby=3&cvssscoremin=0

以下是JSON的一个示例：

{
    "cve_id": "CVE-2016-4951",
    "cwe_id": "0",
    "summary": "The tipc_nl_publ_dump function in net/tipc/socket.c in the Linux kernel through 4.6 does not verify socket existence, which allows local users to cause a denial of service (NULL pointer dereference and system crash) or possibly have unspecified other impact via a dumpit operation.",
    "cvss_score": "7.2",
    "exploit_count": "0",
    "publish_date": "2016-05-23",
    "update_date": "2016-05-24",
    "url": "http://www.cvedetails.com/cve/CVE-2016-4951/"
 }

是否有任何方法可以通过组件的名称获取漏洞？(新旧)

Answer 1

Red维护一个CVE API，可以通过组件进行搜索，例如：

https://access.redhat.com/labs/securitydataapi/cve.json?package=kernel&after=2017-02-17

API的文档可以找到这里。

请注意，数据可能仅限于红帽产品中的组件。

Answer 2

与供应商特定的CVE相比，另一种选择是CIRCL的常见漏洞及暴露Web接口和API。

它的web接口可以在这里的https://cve.circl.lu/和API文档中找到https://cve.circl.lu/api/。

Answer 3

要得到适当的答复有点晚了，但也许它还是有用的。不久前，我对可用的选项感到有点失望，所以我构建了https://cveapi.com。

您可以调用GET https://v1.cveapi.com/.json，并获得该CVE的NIST响应。

它不需要任何auth，并且可以自由使用。