Skills
skills/canxing/skills/cve-vulnerability-analysis

cve-vulnerability-analysis

SKILL.md

CVE漏洞分析技能

概述

本技能用于分析Java和JavaScript组件的CVE(通用漏洞披露)漏洞,提供误报判断、兼容性风险评估和升级建议。技能遵循系统化工作流程,确保分析的一致性和准确性。

工作流程

执行CVE漏洞分析时,遵循以下步骤:

  1. 获取CVE详情

    • 从NVD(国家漏洞数据库)API获取漏洞详细信息
    • 提取漏洞描述、CVSS评分、影响范围等关键信息

  2. 误报分析

  3. 误报判断标准

    • 如果满足以下任一条件,判断为误报
      1. GitHub issues中提到了CVE误报,且issues中的对象与提供的对象相匹配
      2. CVE漏洞描述中提到的仓库地址与被疑似误报的仓库地址不是同一个
      3. 被疑似误报对象的仓库中的issues、公告、声明中明确表示这不是一个误报
    • 如果不满足以上条件,判断为真实漏洞

  4. 升级可行性分析

    • 查找可用的安全更新版本
    • 分析版本升级的兼容性风险
    • 提供具体的升级建议

  5. 生成标准报告

    • 按照预设模板生成详细分析报告
    • 包含证据链接和具体建议

误报分析详细指南

GitHub Issues搜索

  • 使用GitHub API或web搜索查找相关issues
  • 搜索关键词:CVE编号 + "false positive" + 受影响对象名称
  • 检查issue状态:open/closed、评论内容、解决方案

仓库地址比对

  • 从CVE描述中提取提到的仓库URL
  • 获取受影响对象的实际仓库URL(从pom.xml、package.json等)
  • 比较两个URL是否指向同一仓库

官方声明核实

  • 检查受影响对象仓库的Security Advisories
  • 查看RELEASES.md、CHANGELOG.md等文件
  • 搜索仓库中的安全公告和漏洞声明

兼容性风险评估规则

评估版本升级的兼容性风险:

版本变更类型 风险等级 说明
大版本变更 高风险 如9.3.2变更为11.3.8,可能涉及重大API变更和架构调整
中间版本变更 中风险 如5.3.39变更为5.4.0,存在值得注意的兼容性问题
小版本变更 低风险 如5.3.39变更为5.3.40,通常只包含bug修复和安全更新

风险评估指导

  • 高风险:建议进行全面的测试,检查API变更、配置变更和依赖关系
  • 中风险:建议检查主要功能,关注变更日志中的破坏性变更
  • 低风险:可以直接升级,但仍建议进行基本功能测试

输出格式模板

始终使用以下标准报告格式

# CVE漏洞分析报告

## 执行摘要
[概述:是否误报、风险等级、关键发现]

## 漏洞详情
- **CVE编号**:[CVE编号]
- **漏洞描述**:[简要描述]
- **CVSS评分**:[评分及严重等级]
- **受影响对象**:[提供的对象名称和版本]
- **影响范围**:[受影响版本范围]

## 误报分析
### GitHub Issues检查
- [是否找到相关issues]
- [issues内容摘要]
- [链接]

### 仓库地址比对
- CVE描述中提到的仓库:[URL]
- 受影响对象的实际仓库:[URL]
- 比对结果:[是否一致]

### 官方声明核实
- [是否找到相关公告]
- [公告内容摘要]
- [链接]

### 误报判断
- **结论**:[是误报/不是误报]
- **判断依据**:[详细说明]

## 升级建议
### 可用安全版本
- [推荐升级到的版本]
- [其他可选版本]

### 兼容性风险评估
- **当前版本**:[版本号]
- **目标版本**:[版本号]
- **版本变更类型**:[大/中/小版本变更]
- **风险等级**:[高/中/低]
- **风险评估说明**:[详细说明]

### 具体升级建议
- [具体的升级步骤]
- [需要注意的事项]
- [测试建议]

## 参考链接
- [相关GitHub issues链接]
- [安全公告链接]
- [官方文档链接]
- [其他相关资源]

资源使用

scripts/ 目录

包含可执行脚本,用于自动化分析任务:

  • fetch_cve_details.py - 从NVD API获取CVE详情
  • check_github_issues.py - 搜索GitHub issues
  • analyze_version_compatibility.py - 分析版本兼容性
  • generate_report.py - 生成标准报告

references/ 目录

包含详细参考文档:

  • cve_analysis_workflow.md - 完整工作流程详解
  • false_positive_criteria.md - 误报判断标准详细说明
  • compatibility_risk_assessment.md - 兼容性风险评估指南

assets/ 目录

包含报告模板和其他资源文件

注意事项

  1. 数据来源验证:始终验证从外部API获取的数据的准确性
  2. 版本识别:准确识别受影响对象的版本号,避免误判
  3. 风险沟通:明确传达兼容性风险,提供缓解建议
  4. 链接时效性:提供的参考链接应确保可访问和最新
  5. 安全边界:仅分析公开信息,不尝试主动探测漏洞

工具使用建议

  • 使用WebFetch工具获取NVD API响应
  • 使用Bash工具执行脚本和命令行操作
  • 使用GitHub API时注意速率限制
  • 优先使用官方文档和公告作为信息源
Weekly Installs
9
Repository
canxing/skills
First Seen
Feb 28, 2026
Security Audits
Gen Agent Trust HubPass
SocketPass
SnykWarn
Installed on
github-copilot9
codex9
kimi-cli9
gemini-cli9
cursor9
opencode9