供应链安全方向设想

背景:

没有任何安全方向的基础. 纯粹是个麻瓜 TwT
需要做 漏洞触达验证.

有佬友 有相关的思路或方案嘛 !!!

看了下目前能够提供的内容

  1. 组件的SBOM信息
  2. tmd 好像就一个sbom信息. 其他的啥都没有

目前能想到的

  1. 缺失 CVE对应的POC, 或者说是 CVE 的触达链路
  2. 缺失 源代码的识别 分析. 嗯 是的 目前不涉及源代码的识别
  3. 缺失组件的源代码信息

有去 了解过 SAST的能力, 最终发现 即使知道CVE 和 对应组件源码, 目前SAST 也不能稳定获取这个触达的链路

想法:

既然没有CVE的链路, 那就 让LLM 分析 CVE + 组件源码, 获取所谓的触达链路. 这里完全依托与 模型自己的脑子

然后对项目代码 也直接扔给LLM 分析触达链路是否联通.

落地问题

  1. CVE 触达链路在没有POC的场景下不稳定,
  2. 做了下embedding 但是效果筛选不佳
  3. AST 解不明白=.= 导致 整个链路调用会有问题

1 post - 1 participant

Read full topic

via - 最新话题 (author: Night Charm)

标签: none

评论已关闭