cve-manager漏洞管理使用说明【免费下载链接】infrastructure本仓库用于托管CANN社区基础设施团队的公开信息包括不限于会议日程成员信息服务文档和配置等信息项目地址: https://gitcode.com/cann/infrastructure概述此文档帮助开发者了解漏洞管理工具的大致工作流程利用工具顺利完成漏洞issue的闭环。漏洞issue漏洞管理工具发现当前仓库的依赖包存在漏洞时会直接在仓库下创建issue方便开发者跟踪、修复。issue标题漏洞issue采用漏洞的编号作为issue的标题漏洞编号的格式为CVE-年份-xxxxx。如CVE-2024-2961、CVE-2025-13097。issue内容工具创建的issue采用固定模板主要有两部分内容漏洞信息包含了漏洞的编号、影响组件、描述等信息漏洞分析结构反馈所有条目开始均为空值需要开发者根据当前的情况自行填写填写方式下文介绍如何关闭issue关闭issue前必须进行分析评论让工具知道该漏洞的影响情况。分析后的issue关闭分为两种情况所有分支都是不受影响可直接关闭存在受影响的分支该issue必须关联目标分支为受影响分支的PR且PR为已合入的状态issue分析评论流程评论模板如下该模板会在issue创建后通过评论给出。影响性分析说明: 漏洞评分(xx社区评分): BaseScore: x.x(浮点格式) Vector: 受影响版本排查(受影响/不受影响): master:影响性分析说明填写漏洞的描述如何影响当前组件/系统可以与工具给出的描述一致或稍加补充。漏洞评分一般与系统给出的评分和向量保持一致如果有不同的地方可自行分析得出评分和向量。有时系统尚未收集到评分数据开发者可直接评论从其他途径得到的数据。 有评论零值的要求时BaseScore填写0.0Vector填写N/A。受影响版本排查版本名通常对应仓库分支需要排查对应分支是否受该漏洞影响填写内容为受影响、不受影响。 分支名和数量找管理员配置。完整的评论内容举例影响性分析说明: 该漏洞影响组件为apachekafkaclient触发条件与apachedruid有关。 经排查当前社区使用的均为alibabadruid而未apachedruid故不受影响。 漏洞评分(xx社区评分): BaseScore: 7.5 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 受影响版本排查(受影响/不受影响): 1.master:不受影响任何开发者都可以对issue进行评论分析分析内容必须一次性填写完整填写错误工具会给出提示重复分析会覆盖上一次分析的内容分析通过后工具会以表格的方式在评论区回显分析的内容表格形式如下并同步修改issue的描述状态分析项目内容已分析影响性分析说明该漏洞影响组件为apachekafkaclient触发条件与apachedruid有关。经排查当前社区使用的均为alibabadruid而未apachedruid故不受影响。已分析BaseScore7.5已分析VectorCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N已分析受影响的版本排查master:不受影响关闭issue的条件进行分析评论的目的是对关闭issue的过程进行监督和约束未分析或未成功分析的issue无法被关闭。 关闭issue的流程如下图所示关闭issue需手动触发工具负责后续检查受影响分支可能有一个或多个多个分支需要分别关联多个PR尽量先进行分析评论再关联PR误报漏洞匹配过程中可能存在误报这种issue可直接拒绝。但由于gitcode没有拒绝功能可走不受影响的流程。【免费下载链接】infrastructure本仓库用于托管CANN社区基础设施团队的公开信息包括不限于会议日程成员信息服务文档和配置等信息项目地址: https://gitcode.com/cann/infrastructure创作声明：本文部分内容由AI辅助生成（AIGC），仅供参考