如果NVD CVE描述包含文件名，是否意味着所引用的项目是开源的？

Question

我试图为将来的漏洞研究找到尽可能多的开源项目repos。在处理NVD提要数据时，我发现一些CVE描述包含文件名，甚至是导致漏洞的源代码的函数名，这是否意味着项目是开源的？

同时，是否有任何更好的方法或数据源可以帮助我实际获得推荐的项目重新部署？(例如CVE-2018-13305 -> FFmpeg)

Answer 1

你第一个问题的简短回答是否定的。NVD数据基于MiTRE的CVE记录。一旦MiTRE发布了CVE的详细信息，由CVE请求者或CNA提交的详细信息，NVD将执行额外的分析。

如果CVE请求者/CNA提供文件名/函数之类的详细信息，那么它将在CVE记录中，或者如果NVD能够从可公开的来源确定这些详细信息，那么他们可以将其添加到他们的分析中。尽管如此，你会发现非常罕见的封闭源CVEs有这样的细节。

因此，尽管CVE描述包含文件名或函数这一事实很好地表明了所讨论的软件是开源的，但这并不是一条规则。

你第二个问题的答案是否定的。嗯，有一些方法，但这是一个过于宽泛的问题，不能在这里解决。

Answer 2

为了回答你的第一个问题，它可能，它可能不会。我看到了对非开源漏洞的描述，这些漏洞列出了易受攻击的文件/模块/函数名。

要回答你的第二个问题，是的，有一个方法。在NVD JSON提要中，您将看到每个漏洞都有对供应商对手和其他外部联机引用的引用。在reference字段中，您可以看到字段url和标记(url是URI，标记是URL的描述)。为了实现您想要的目标，我首先要找到链接到git存储库上提交的所有漏洞(提示:不仅仅是github)。接下来，您可以看到在这些git引用中，筛选所有链接到其他非开源漏洞POCs的引用。