csaf

一个用于从命令行处理CSAF数据的工具。

此工具也可用作库： https://crates.io/crates/csaf-walker

用法

Commands:
  parse     Parse advisories
  download  Like sync, but doesn't validate
  scan      Scan advisories
  discover  Discover advisories, just lists the URLs
  sync      Sync only what changed, and alidate
  report    Analyze (and report) the state of the data
  send      Walk a source and send validated/retrieved documents to a sink
  metadata  Discover provider metadata
  help      Print this message or the help of the given subcommand(s)

解析

解析CSAF文档，或失败尝试。

发现

发现指向远程服务器上CSAF文档的URL列表。这将执行元数据的查找，并按行输出发现的文档的URL。

示例

cargo run -- discover redhat.com

下载

发现并下载CSAF文档。

同步

发现、下载并验证CSAF文档。

这与“下载”命令类似，但还会执行一些完整性验证（如散列、签名）。但是，它不会验证文档的内容。

报告

发现、验证和验证CSAF文档。

这会暂时下载CSAF文档，执行内容和验证。

注意： 此命令最好用于已下载的数据（运行“下载”和“报告”的组合）。

发送

发现、下载、验证并将CSAF文档发送到远程端点。

而不是在本地存储内容，它将内容转发到远程端点。

元数据

从源中尝试发现提供者元数据。显示结果JSON。

常见选项

源

CSAF工具可以从两个服务中发现和检索CSAF文档：HTTP和文件系统。此外，在下载CSAF文档时，工具将内容写入文件系统，以便稍后作为文件系统源使用。

背后的想法是，可以将下载和处理文档的过程分开。

如果源字符串可以被解析为https URL，它必须指向提供者元数据。如果源字符串是file URL，则需要指向由sync或download创建的本地文件系统位置。否则，源必须是一个域名，该域名将根据规范用于发现CSAF提供者元数据。

注意：目前文件系统存储的结构不被视为API。仅保证同一版本的工具可以读取存储的内容。此外，目前它不是一个可以直接作为新的CSAF存储库格式。

签名验证

当签名进行验证时，可能会出现签名算法被认为是“太旧”的情况。如果那样，并且您仍然希望允许它们，可以提供“策略日期”，该日期设置了对仍然允许的内容的默认值（也参见：https://docs.rs/sequoia-policy-config/latest/sequoia_policy_config/）。

具体来说，当遇到GPG v3签名时，还可以使用-3开关。