[Open Source] NVD·OSV·GitHub Advisory 통합 오픈소스 취약점 스캐너 (open-cve-scanner)

📋 개요

의존성에 숨은 알려진 취약점(CVE)을 빠르게 찾아내기 위해 만든 오픈소스 도구 open-cve-scanner를 소개합니다. 단일 패키지부터 프로젝트 전체 의존성 파일까지, NVD(NIST)·OSV.dev(Google)·GitHub Advisory 세 곳의 취약점 데이터를 한 번에 조회해 보안 리포트를 생성하는 Python CLI입니다.

GitHub 저장소: https://github.com/rebugui/open-cve-scanner

🎯 제작 배경

취약점 점검을 할 때마다 NVD, OSV, GitHub Advisory를 따로 검색하고 버전을 비교하는 일은 번거롭고 누락이 생기기 쉽습니다. 세 소스를 통합 조회하고, 의존성 파일을 파싱해 한 번에 감사하며, 결과를 다양한 형식으로 떨어뜨려 CI/CD 파이프라인에 그대로 물릴 수 있는 도구가 필요했습니다.

🏗️ 핵심 기능

3개 CVE 데이터 소스 통합 — NVD(미국 국가 취약점 DB), OSV.dev(오픈소스 전용), GitHub Advisory

8개 패키지 생태계 지원

생태계	의존성 파일
npm (Node.js)	package.json / package-lock.json
PyPI (Python)	requirements.txt / Pipfile.lock
Maven (Java)	pom.xml / build.gradle
Go	go.mod / go.sum
crates.io (Rust)	Cargo.lock
Packagist (PHP)	composer.lock
RubyGems (Ruby)	Gemfile.lock
NuGet (.NET)	(패키지명·버전 직접 지정)

다양한 출력 형식: Markdown · Excel · CSV · JSON · SARIF 심각도 필터·캐싱·Rate Limit 대응: --severity로 CRITICAL/HIGH만 추리고, 동일 세션 캐싱과 API 키(NVD·GitHub)로 조회 제한을 완화합니다.

🚦 CI/CD 정책 모드

빌드 게이트로 쓰도록 설계했습니다.

--output sarif : GitHub code scanning 등 SARIF 소비 도구 연동
--fail-on HIGH : HIGH 이상 취약점이 남으면 종료 코드 2로 빌드 실패
--ignore-file .cveignore : 오탐/예외 항목 억제 (package:ID 형식 지원)

⚖️ 라이선스

MIT License — 자유롭게 사용·수정·배포할 수 있습니다.

⚠️ 주의사항

NVD·GitHub API는 Rate Limit이 있어 대량 스캔 시 API 키 사용을 권장합니다.
생태계 자동 감지가 실패하면 --ecosystem 옵션으로 직접 지정하세요.
버전 비교는 SemVer 기준이며, 커스텀 버전 체계는 결과가 부정확할 수 있습니다. 인터넷 연결이 필요합니다.

🚀 실행 방법

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
# 설치
pip install -r requirements.txt

# 단일 패키지 스캔
./cve-scanner "log4j-core" "2.14.0"

# 의존성 파일 스캔 (엑셀 출력)
./cve-scanner --file requirements.txt --output excel

# CI: HIGH 이상이면 빌드 실패
./cve-scanner --file package.json --fail-on HIGH

💬 피드백

버그 리포트·기능 제안·풀 리퀘스트를 환영합니다. GitHub Issues 로 남겨 주세요.