name: vulnerability-scanner description: 针对依赖项和代码的安全漏洞扫描,包含CVE数据库检查和风险评估 allowed-tools: [“Bash”, “Read”, “Write”, “Grep”, “Glob”, “Edit”]
漏洞扫描技能
执行全面的安全漏洞扫描,涵盖依赖项和代码,集成CVE数据库和安全平台,以识别、评估和优先处理安全风险,用于迁移规划。
目的
实现全面的安全漏洞检测,包括:
- CVE数据库检查已知漏洞
- 严重性评估和优先级排序
- 可利用性分析
- 补丁可用性检查
- 传递性漏洞链映射
- 风险评分和修复指导
能力
1. CVE数据库检查
- 查询NVD(国家漏洞数据库)
- 检查GitHub咨询数据库
- 查询供应商特定咨询数据库
- 交叉引用多个CVE来源
- 跟踪CVE发布日期和更新
2. 严重性评估
- CVSS(通用漏洞评分系统)评分
- 严重性分类(严重、高、中、低)
- 环境评分调整
- 时间评分分析
- 影响评估
3. 可利用性分析
- 检查已知野外利用
- 评估攻击向量复杂性
- 评估所需权限
- 分析用户交互要求
- 跟踪利用成熟度级别
4. 补丁可用性检查
- 识别可用补丁和修复
- 检查安全公告
- 查找升级到安全版本的路径
- 跟踪供应商补丁时间线
- 监控向后移植可用性
5. 传递性漏洞链映射
- 通过依赖树映射漏洞路径
- 识别所有受影响的依赖链
- 计算暴露范围
- 基于路径深度优先处理
- 推荐针对性修复
6. 风险评分
- 计算综合风险评分
- 考虑业务上下文
- 评估暴露可能性
- 评估潜在影响
- 生成优先修复列表
工具集成
当可用时,此技能可以利用以下外部工具:
| 工具 | 目的 | 集成方法 |
|---|---|---|
| Snyk | 全面的漏洞扫描 | CLI / API |
| npm audit | Node.js漏洞扫描 | CLI |
| OWASP Dependency-Check | 跨平台扫描 | CLI |
| Trivy | 容器和文件系统扫描 | MCP服务器 / CLI |
| Grype | 漏洞扫描器 | CLI |
| GitHub Dependabot | 咨询检查 | API |
| OSV Scanner | Google的漏洞扫描器 | CLI |
| Semgrep | 带安全规则的SAST | CLI |
| MCP-Scan | MCP服务器安全 | 工具 |
使用方法
基本扫描
# 调用技能进行漏洞扫描
# 该技能将扫描依赖项和可选的代码
# 预期输入:
# - targetPath: 项目根路径
# - scanScope: 'dependencies' | 'code' | 'full'
# - severityThreshold: 'critical' | 'high' | 'medium' | 'low'
# - outputFormat: 'json' | 'sarif' | 'markdown'
扫描工作流程
-
发现阶段
- 识别包管理器和依赖文件
- 检测代码库语言
- 检查现有安全配置
-
依赖项扫描
- 提取依赖信息
- 查询漏洞数据库
- 将漏洞映射到依赖项
-
代码扫描(可选)
- 运行SAST分析
- 检查安全反模式
- 识别硬编码密钥
-
分析阶段
- 计算严重性评分
- 评估可利用性
- 检查补丁可用性
- 映射传递链
-
报告生成
- 生成优先漏洞列表
- 提供修复指导
- 创建合规报告
输出模式
{
"scanId": "string",
"timestamp": "ISO8601",
"target": {
"path": "string",
"packageManagers": ["string"],
"languages": ["string"]
},
"summary": {
"totalVulnerabilities": "number",
"critical": "number",
"high": "number",
"medium": "number",
"low": "number",
"fixable": "number",
"riskScore": "number (0-100)"
},
"vulnerabilities": [
{
"id": "string (CVE-XXXX-XXXXX)",
"title": "string",
"description": "string",
"severity": "critical|high|medium|low",
"cvss": {
"score": "number",
"vector": "string",
"version": "string"
},
"package": {
"name": "string",
"version": "string",
"ecosystem": "string"
},
"affectedVersions": "string",
"fixedVersions": "string",
"patchAvailable": "boolean",
"exploitability": {
"hasKnownExploit": "boolean",
"exploitMaturity": "string",
"attackVector": "string"
},
"dependencyPath": ["string"],
"references": ["string"],
"remediation": {
"recommendation": "string",
"upgradeTarget": "string",
"alternativePackages": ["string"]
}
}
],
"securityIssues": [
{
"type": "string",
"severity": "string",
"file": "string",
"line": "number",
"description": "string",
"cwe": "string",
"recommendation": "string"
}
],
"compliance": {
"passesPolicy": "boolean",
"violations": ["string"],
"waivers": ["string"]
}
}
与迁移流程集成
此技能与以下代码迁移/现代化流程集成:
- dependency-analysis-updates: 依赖项安全评估
- security-remediation-migration: 安全修复的主要工具
- cloud-migration: 云部署的安全合规性
- legacy-codebase-assessment: 安全态势评估
配置
技能配置文件
在项目根目录创建.vulnerability-scanner.json:
{
"scanScope": "full",
"severityThreshold": "medium",
"failOnSeverity": "critical",
"databases": ["nvd", "ghsa", "osv"],
"excludeVulnerabilities": [],
"waivers": [
{
"id": "CVE-2021-12345",
"reason": "在我们的上下文中不可利用",
"expiresAt": "2026-06-01"
}
],
"policy": {
"maxCritical": 0,
"maxHigh": 5,
"requirePatchWithin": {
"critical": "7d",
"high": "30d",
"medium": "90d"
}
},
"reporting": {
"formats": ["json", "sarif", "markdown"],
"outputDir": "./security-report"
}
}
MCP服务器集成
当MCP-Scan可用时:
// MCP安全扫描示例
{
"tool": "mcp_scan_security",
"arguments": {
"target": "./",
"checks": ["toolPoisoning", "piiDetection", "promptInjection"]
}
}
当Trivy可用时:
// Trivy漏洞扫描示例
{
"tool": "trivy_scan",
"arguments": {
"target": "./",
"scanners": ["vuln", "secret"],
"severity": "CRITICAL,HIGH"
}
}
漏洞数据库
支持的数据库
| 数据库 | 覆盖范围 | 更新频率 |
|---|---|---|
| NVD | 所有CVE | 每小时 |
| GitHub Advisory | 开源包 | 实时 |
| OSV | 多生态系统 | 实时 |
| Snyk DB | 专有丰富数据 | 实时 |
| npm Advisory | Node.js包 | 实时 |
| RustSec | Rust包 | 实时 |
数据库优先级
- GitHub咨询数据库(对开源最准确)
- NVD(全面、标准化)
- OSV(聚合、多生态系统)
- 供应商特定(生态系统特定细节)
严重性分类
CVSS v3.x映射
| CVSS评分 | 严重性 | 所需行动 |
|---|---|---|
| 9.0 - 10.0 | 严重 | 立即修复 |
| 7.0 - 8.9 | 高 | 优先修复 |
| 4.0 - 6.9 | 中 | 计划修复 |
| 0.1 - 3.9 | 低 | 监控和规划 |
风险优先级因素
- 严重性评分: 基础CVSS评分
- 可利用性: 已知野外利用
- 暴露: 面向互联网 vs 内部
- 依赖深度: 直接 vs 传递
- 修复可用性: 补丁/升级可用
最佳实践
- 定期扫描: 集成到CI/CD流水线中
- 策略执行: 定义和执行安全策略
- 豁免管理: 定期记录和审查豁免
- 优先级排序: 关注严重和可利用的漏洞
- 监控: 为新漏洞设置警报
- 修复跟踪: 随时间跟踪修复进度
相关技能
dependency-scanner: 依赖项清单和SBOM生成static-code-analyzer: 代码级安全分析compliance-validator: 合规性检查
相关代理
security-vulnerability-assessor: 使用此技能进行安全评估dependency-modernization-agent: 使用此技能进行安全更新migration-readiness-assessor: 使用此技能进行安全评估