漏洞优先级器

v1.0.0

优先考虑超出CVSS评分的漏洞，使用EPSS（漏洞利用预测评分）、CISA KEV、资产关键性、可达性分析和漏洞利用成熟度等方法。

0· 0·0 当前·0 累计

by @charlie-morrison

安全

下载技能包

运行时依赖

无特殊依赖

安装命令

点击复制

官方npx clawhub@latest install vulnerability-prioritizer

镜像加速npx clawhub@latest install vulnerability-prioritizer --registry https://cn.longxiaskill.com镜像同步中

需要定制？告诉我你的需求 →

技能文档

漏洞优先排序器停止仅根据 CVSS 分数修复 CVE。使用真实世界的漏洞利用数据（EPSS）、CISA 已知漏洞利用目录、资产关键性、网络可达性和漏洞成熟度来优先排序漏洞 —— 然后生成一个排名的补救计划，专注于风险最高的区域。使用时： "优先排序这些 CVE"、"哪些漏洞最重要"、"分类扫描结果"、"我们应该先修复哪些"、"来自扫描器的漏洞报告"、"基于风险的优先排序"，或在从 Snyk、Trivy、Grype、Qualys 或 Nessus 接收扫描输出后。

命令

优先排序 —— 风险排名漏洞列表

步骤 1：解析扫描器输出接受来自常见扫描器的输入： # Trivy JSON 输出 trivy image --format json $IMAGE 2>/dev/null # Grype JSON 输出 grype $IMAGE -o json 2>/dev/null # npm 审计 npm audit --json 2>/dev/null # pip 审计 pip-audit --format json 2>/dev/null 提取每个漏洞的以下信息： CVE ID CVSS 分数（优先使用 v3）受影响的包和版本可用修复版本严重性标签

步骤 2：使用 EPSS 数据进行增强 # 获取 EPSS 分数（漏洞利用预测评分系统） # EPSS API：30 天内被利用的概率 curl -s "https://api.first.org/data/v1/epss?cve=CVE-2024-1234,CVE-2024-5678" | \ python3 -c " import json, sys data = json.load(sys.stdin) for entry in data.get('data', []): cve = entry['cve'] epss = float(entry['epss']) pctl = float(entry['percentile']) risk = 'CRITICAL' if epss > 0.5 else 'HIGH' if epss > 0.1 else 'MEDIUM' if epss > 0.01 else 'LOW' print(f'{cve}: EPSS={epss:.4f} (percentile {pctl:.2f}) — {risk} 利用可能性') "

步骤 3：检查 CISA KEV（已知漏洞利用目录） # 下载 CISA KEV 目录 curl -s "https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json" | \ python3 -c " import json, sys kev = json.load(sys.stdin) kev_cves = {v['cveID'] for v in kev['vulnerabilities']} # 将您的 CVE 列表与 KEV 目录进行比较 target_cves = sys.argv[1].split(',') if len(sys.argv) > 1 else [] for cve in target_cves: if cve in kev_cves: print(f' {cve} 在 CISA KEV 中 —— 正在被利用，请立即修复') " "CVE-2024-1234,CVE-2024-5678"

步骤 4：评估资产关键性询问或推断资产上下文：面向互联网？公共可达服务获得 2 倍风险倍数包含敏感数据？ PII、凭证、财务数据 —— 2 倍倍数业务关键性？收入产生、身份验证、支付 —— 1.5 倍倍数爆炸半径？共享库、基础镜像、公共服务 —— 1.5 倍倍数

步骤 5：计算综合风险评分风险评分 = CVSS_normalized × EPSS_weight × asset_multiplier × exploit_maturity 其中：

CVSS_normalized = CVSS / 10（0-1 范围）
EPSS_weight = 1 + (EPSS × 10)（EPSS 0.5 —— 6 倍权重）
asset_multiplier = 适用倍数的乘积
exploit_maturity：

- 在 CISA KEV 中 = 5.0 - 公共漏洞利用（Metasploit、ExploitDB）= 3.0 - PoC 可用 = 2.0 - 理论 = 1.0

步骤 6：生成优先排序报告 # 漏洞优先排序报告

摘要

总漏洞数：142
优先排序后：12 个关键、23 个高、45 个中、62 个低
补救工作：~3 天用于关键和高级别

关键优先级（在 24 小时内修复）

| 排名 | CVE | CVSS | EPSS | KEV | 包 | 风险评分 | 修复 | |------|-----|------|------|-----|---------|-----------|-----| | 1 | CVE-2024-1234 | 9.8 | 0.87 | | openssl 3.0.1 | 48.2 | 升级到 3.0.15 | | 2 | CVE-2024-5678 | 8.1 | 0.45 | | log4j 2.14.1 | 36.5 | 升级到 2.21.0 |

高优先级（在 1 周内修复）

...

降优先级（CVSS 高但实际风险低）

| CVE | CVSS | EPSS | 原因 | |-----|------|------|--------| | CVE-2024-9999 | 9.1 | 0.001 | 无已知漏洞利用，仅内部服务，无敏感数据 |

比较 —— 跟踪漏洞趋势

比较当前扫描结果与之前的基线：新漏洞已修复的漏洞恶化的漏洞（新漏洞利用发布、添加到 KEV）按严重性计算平均修复时间（MTTR）

sla —— 生成补救 SLA

根据行业标准和组织的风险承受能力：关键（KEV + EPSS > 0.5）：24 小时高（EPSS > 0.1 或 CVSS ≥ 9.0）：7 天中（EPSS > 0.01 或 CVSS ≥ 7.0）：30 天低：90 天或下一个发布周期跟踪 SLA 合规性并标记过期项。

reachability —— 分析漏洞可达性

对于每个漏洞，确定漏洞代码路径是否实际可达： # 检查是否调用了漏洞函数（npm 示例） # 找到具有 CVE 的模块 npm ls --json 2>/dev/null | python3 -c " import json, sys tree = json.load(sys.stdin) # 遍历依赖树以找到使用情况 " # 检查导入链 rg "require\(['\"]漏洞包['\"]" --type js rg "from ['\"]漏洞包['\"]" --type ts 标记为可达（立即修复）、传递可达（尽快修复）或幻影（依赖存在但代码不可达）。

数据来源：ClawHub ↗ · 中文优化：龙虾技能库