Lib.rs

数据结构
#csaf #vex #data #walker #validation #sbom #valid

csaf-walker

用于处理CSAF数据的库

Jens Reimann 编写。 共同所有者 Ulf Lilleengen.

53次发布

0.8.11 2024年7月29日
0.8.3 2024年6月24日
0.6.0-alpha.82024年2月23日
0.5.4 2023年10月27日
0.1.4 2023年7月6日

#122 in 数据结构

Download history 312/week @ 2024-04-26 183/week @ 2024-05-03 414/week @ 2024-05-10 477/week @ 2024-05-17 186/week @ 2024-05-24 462/week @ 2024-05-31 145/week @ 2024-06-07 181/week @ 2024-06-14 524/week @ 2024-06-21 202/week @ 2024-06-28 491/week @ 2024-07-05 273/week @ 2024-07-12 484/week @ 2024-07-19 280/week @ 2024-07-26 242/week @ 2024-08-02 47/week @ 2024-08-09

1,082 每月下载量
3 个crate中使用 (2个直接使用)

Apache-2.0LGPL-2.0-or-later

3.5MB
49K SLoC

JavaScript 43K SLoC // 0.1% comments Rust 6K SLoC // 0.0% comments

CSAF Walker

crates.io docs.rs GitHub release (latest SemVer) CI

从远程服务器“遍历”CSAF数据,允许用户处理这些数据。

此外,此仓库还包含用于处理SBOM数据的工具。大多数选项对SBOM和CSAF都适用。

从命令行

有一个命令行工具,可以直接使用。

安装

从GitHub发布页面下载一个可运行的二进制文件: https://github.com/ctron/csaf-walker/releases

您还可以使用 cargo binstall 来安装此类二进制文件

cargo binstall csaf-cli
cargo binstall sbom-cli

或自行编译,使用纯 cargo install

cargo install csaf-cli
cargo install sbom-cli

使用方法

您可以通过提供CSAF信任提供者的域名来下载所有文档

mkdir out
csaf sync -3 -v -d out/ redhat.com

也可以仅下载文件,跳过验证步骤(稍后可以使用已下载的副本进行)

mkdir out
csaf download -3 -v -d out/ redhat.com

[!注意] 如果数据使用GPG v3签名,可以使用 -3 标志,将其视为仍然有效。

另一种选择是使用 --policy-date 参数,并提供手动策略日期。另请参阅: https://docs.sequoia-pgp.org/sequoia_openpgp/policy/struct.StandardPolicy.html.

差异同步

默认情况下,由 HTTP 服务器报告的时间戳将应用于下载的文件。当重新运行时,将使用 changes.csv 文件作为源来发现文件何时被更改。如果文件已存在且在 changes.csv 文件中有更新的修改时间戳,则它将再次下载。否则,将跳过。

使用 --since 选项,可以提供起始时间戳,这将跳过在此时间戳之前报告的所有更改,并强制在此时间戳之后(独立于本地文件时间戳)的所有更改重新同步。

使用 --since-file 选项,可以通过从文件中初始加载“since”值并在运行成功结束后将其存储到文件中来自动化“since”值。

如果同时提供了 --since--since-file,则首先使用“since file”,如果文件不存在,则“since”值将作为后备。

发送数据

除了存储之外,还可以将数据发送到远程实例(使用 Vexination 或 Bombastic API)。

csaf send -3 redhat.com https://127.0.0.1:8083

当然,也可以使用文件系统作为源

csaf send -3 file:out/ https://127.0.0.1:8083

作为库

使用 crate csaf-walker,这也可以用作库

use anyhow::Result;
use url::Url;
use csaf_walker::source::HttpSource;
use csaf_walker::walker::Walker;
use csaf_walker::retrieve::RetrievingVisitor;
use csaf_walker::validation::{ValidatedAdvisory, ValidationError, ValidationVisitor};
use walker_common::fetcher::Fetcher;

async fn walk() -> Result<()> {
    let fetcher = Fetcher::new(Default::default()).await?;
    let metadata = MetadataRetriever::new("redhat.com");
    let source = HttpSource::new(metadata, fetcher, Default::default());

    Walker::new(source.clone())
        .walk(RetrievingVisitor::new(
            source.clone(),
            ValidationVisitor::new(
                move |advisory: Result<ValidatedAdvisory, ValidationError>| async move {
                    log::info!("Found advisory: {advisory:?}");
                    Ok::<_, anyhow::Error>(())
                },
            )
        ))
        .await?;

    Ok(())
}

依赖项

~39–69MB
~1.5M SLoC