爱站程序员基地Night Charm 在 供应链安全方向设想 中发帖
背景:
没有任何安全方向的基础. 纯粹是个麻瓜 TwT
需要做 漏洞触达验证.
有佬友 有相关的思路或方案嘛 !!!
看了下目前能够提供的内容
组件的SBOM信息
tmd 好像就一个sbom信息. 其他的啥都没有
目前能想到的
缺失 CVE对应的POC, 或者说是 CVE 的触达链路
缺失 源代码的识别 分析. 嗯 是的 目前不涉及源代码的识别
缺失组件的源代码信息
有去 了解过 SAST的能力, 最终发现 即使知道CVE 和 对应组件源码, 目前SAST 也不能稳定获取这个触达的链路
想法:
既然没有CVE的链路, 那就 让LLM 分析 CVE + 组件源码, 获取所谓的触达链路. 这里完全依托与 模型自己的脑子
然后对项目代码 也直接扔给LLM 分析触达链路是否联通.
落地问题
CVE 触达链路在没有POC的场景下不稳定,
做了下embedding 但是…
详情链接:
https://linux.do/t/topic/1343088/1
来源: LINUX DO, 消息ID: 263416
![比卡丘 (@yixiaochuan) 在 国产替代越来越艰难了,gemini 3 flash 的 API价格已经杀到0.5/3刀了. 中发帖
[image]
虽然开源还是遥遥领先,
但是可...-爱站程序员基地](https://aiznh.com/wp-content/uploads/2021/05/5-220x150.jpeg)
