本地漏洞库问题

[l0ners]

本地漏洞库不提供一个官方版的吗，还是说全都得用户自己写规则？

[Xmirror-DevSecOps]

本地漏洞库不提供一个官方版的吗，还是说全都得用户自己写规则？

目前，OpenSCA本地检测工具提供以下几种漏洞库关联方式： （1）云平台漏洞库：可关联最新的漏洞数据，通过将本地解析的组件信息（不包含代码信息）上传至OpenSCA云平台，关联云平台漏洞库； （2）本地漏洞库示例：我们提供了本地漏洞库的demo文件（db-demo.json），列举了Apache log4j2的漏洞信息，可以通过本地漏洞库示例，检测Apache log4j2相关漏洞。

后续OpenSCA团队会对漏洞库开放的问题进一步调研，会计划针对本地环境逐步开放漏洞库，敬请期待。除此之外，大家也可以按照OpenSCA提供的漏洞库的数据结构建立自己的漏洞库。我们会参考大家的建议不断完善OpenSCA开源项目，感谢大家的支持。