数据结构

AffectedComponent

受漏洞影响的组件信息。

被如下接口引用：DescribeKBVulnerability。

名称	类型	描述
Name	String	受漏洞影响的组件名称 注意：此字段可能返回 null，表示取不到有效值。 示例值：apache-log4j
AffectedVersionList	Array of String	受漏洞影响的版本 注意：此字段可能返回 null，表示取不到有效值。 示例值：["2.4.0<=version<2.12.2"]
FixedVersionList	Array of String	修复此漏洞的版本 注意：此字段可能返回 null，表示取不到有效值。 示例值：["2.15.0"]

CVSSV2Info

CVSSv2.0详细信息。

被如下接口引用：DescribeKBVulnerability。

名称	类型	描述
CVSS	Float	CVE评分。 示例值：6.8
AccessVector	String	AccessVector 攻击途径。 取值范围： NETWORK 远程 ADJACENT_NETWORK 近邻 LOCAL 本地 示例值：LOCAL
AccessComplexity	String	AccessComplexity 攻击复杂度。 取值范围： HIGH 高 MEDIUM 中 LOW 低 示例值：HIGH
Authentication	String	Authentication 身份验证。 取值范围： MULTIPLE 多系统认证 SINGLE 单系统认证 NONE 无 示例值：MULTIPLE
ConImpact	String	ConfidentialityImpact 机密性影响。 取值范围： NONE 无 PARTIAL 部分 COMPLETE 完整 示例值：PARTIAL
IntegrityImpact	String	IntegrityImpact 完整性影响。 取值范围： NONE 无 PARTIAL 部分 COMPLETE 完整 示例值：PARTIAL
AvailabilityImpact	String	AvailabilityImpact 可用性影响。 取值范围： NONE 无 PARTIAL 部分 COMPLETE 完整 示例值：PARTIAL

CVSSV3Info

Cvssv3.0详细信息。

被如下接口引用：DescribeKBVulnerability。

名称	类型	描述
CVSS	Float	CVE评分。 示例值：5.5
AttackVector	String	AttackVector 攻击途径。 取值范围： NETWORK 远程 ADJACENT_NETWORK 近邻 LOCAL 本地 PHYSICAL 物理 示例值：NETWORK
AttackComplexity	String	AttackComplexity 攻击复杂度。 取值范围： HIGH 高 LOW 低 示例值：HIGH
PrivilegesRequired	String	PrivilegesRequired 触发特权。 取值范围： HIGH 高 LOW 低 NONE 无 示例值：HIGH
UserInteraction	String	UserInteraction 交互必要性。 取值范围： NONE 无 REQUIRED 需要 示例值：REQUIRED
Scope	String	Scope 绕过安全边界。 取值范围： UNCHANGED 否 CHANGED 能 示例值：UNCHANGED
ConImpact	String	ConfidentialityImpact 机密性影响。 取值范围： NONE 无 LOW 低 HIGH 高 示例值：LOW
IntegrityImpact	String	IntegrityImpact 完整性影响。 取值范围： NONE 无 LOW 低 HIGH 高 示例值：LOW
AvailabilityImpact	String	AvailabilityImpact 可用性影响。 取值范围： NONE 无 LOW 低 HIGH 高 示例值：LOW

Component

描述一个第三方组件的源信息。

被如下接口引用：DescribeKBComponent, SearchKBComponent。

名称	类型	描述
PURL	PURL	第三方组件的PURL
Homepage	String	第三方组件的主页 示例值：https://www.openssl.org
Summary	String	第三方组件的简介 示例值：OpenSSL is a toolkit for supporting cryptography.
NicknameList	Array of String	第三方组件的别名列表 注意：此字段可能返回 null，表示取不到有效值。 示例值：["gmock", "googlemock", "gmock-gtest-all"]
CodeLocationList	Array of String	第三方组件的代码位置列表 注意：此字段可能返回 null，表示取不到有效值。 示例值：["https://github.com/google/googletest.git","https://github.com/abseil/googletest.git"]
LicenseExpression	String	第三方组件的许可证表达式 示例值：apache-2.0
VersionInfo	ComponentVersionInfo	第三方组件的版本信息(如果匹配到版本) 注意：此字段可能返回 null，表示取不到有效值。
LastUpdateTime	String	第三方组件的最后更新时间 注意：此字段可能返回 null，表示取不到有效值。 示例值：2024-10-03T11:12:40Z
TagList	Array of String	第三方组件的类型标签 注意：此字段可能返回 null，表示取不到有效值。 示例值：["hardware"]

ComponentTagFilter

筛选条件，同一个Tag不能同时出现在IncludeTags和ExcludeTags，可能的Tag包括："CopyrightUpdated", "LicenseUpdated", "ContainsVulnerability"

被如下接口引用：DescribeKBComponentVersionList。

名称	类型	必选	描述
IncludeTags	Array of String	否	包括的Tag 示例值：["CopyrightUpdated"]
ExcludeTags	Array of String	否	排除的Tag 示例值：["LicenseUpdated"]

ComponentVersion

描述一个组件版本。

被如下接口引用：DescribeKBComponentVersionList。

名称	类型	描述
PURL	PURL	该组件的PURL 注意：此字段可能返回 null，表示取不到有效值。
LicenseExpression	String	该组件版本的许可证表达式 注意：此字段可能返回 null，表示取不到有效值。 示例值：mit
VersionInfo	ComponentVersionInfo	组件的版本信息 注意：此字段可能返回 null，表示取不到有效值。

ComponentVersionInfo

描述组件版本的详情，包含组件发布时间、Copyright列表、组件描述Tag。

被如下接口引用：DescribeKBComponent, DescribeKBComponentVersionList, SearchKBComponent。

名称	类型	描述
PublishTime	String	版本发布时间 注意：此字段可能返回 null，表示取不到有效值。 示例值：2024-04-17 08:50:11.000000
CopyrightList	Array of String	当前版本的所有copyright 注意：此字段可能返回 null，表示取不到有效值。 示例值：["Copyright (c) 1998-2018 The OpenSSL Project", "Copyright (c) 1995-1998 Eric Young (eay@cryptsoft.com)", "holder is Tim Hudson (tjh@cryptsoft.com)" ]
TagList	Array of String	版本标签 注意：此字段可能返回 null，表示取不到有效值。 示例值：["ContainsVulnerability", "LicenseUpdated"]

ComponentVulnerabilitySummary

与输入组件相关的漏洞信息摘要信息。

被如下接口引用：DescribeKBComponentVulnerability。

名称	类型	描述
PURL	PURL	用于匹配漏洞的PURL 注意：此字段可能返回 null，表示取不到有效值。
CanBeFixed	Boolean	该组件是否包含修复漏洞的官方补丁 示例值：true
FixedVersion	String	修复漏洞的组件版本号 示例值：>1.1.1c
AffectedVersion	String	漏洞影响的组件版本号 示例值：1.1.1
AffectedComponent	String	漏洞影响组件 示例值：openssl
RiskLevel	String	漏洞在该产品中的风险等级 Critical High Medium Low 示例值：Medium

ComponentVulnerabilityUnion

描述组件漏洞相关概览信息。

被如下接口引用：DescribeKBComponentVulnerability。

名称	类型	描述
Summary	VulnerabilitySummary	漏洞概览信息
SummaryInComponent	ComponentVulnerabilitySummary	与组件相关的漏洞概览信息

LicenseDetail

描述许可证的详细信息。

被如下接口引用：DescribeKBLicense。

名称	类型	描述
Content	String	许可证内容 示例值： TERMS AND CONDITIONS FOR USE, REPRODUCTION, AND DISTRIBUTION...
ConditionSet	Array of LicenseRestriction	许可证允许信息列表
ForbiddenSet	Array of LicenseRestriction	许可证要求信息列表
PermissionSet	Array of LicenseRestriction	许可证禁止信息列表

LicenseRestriction

License约束信息。

被如下接口引用：DescribeKBLicense。

名称	类型	描述
Name	String	license约束的名称。 示例值：Commercial Use
Description	String	license约束的描述。 示例值：The licensed material

LicenseSummary

描述许可证的概览信息。

被如下接口引用：DescribeKBLicense。

名称	类型	必选	描述
Key	String	是	许可证标识符 示例值：apache-2.0
SPDXKey	String	是	许可证的SPDX标识符，见 https://spdx.org/licenses/ 示例值：Apache-2.0
ShortName	String	是	许可证短名称 示例值：Apache 2.0
Name	String	是	许可证完整名称 示例值：Apache License 2.0
Risk	String	是	License风险等级 NotDefined LowRisk MediumRisk HighRisk 示例值：LowRisk
Source	String	是	许可证来源URL 示例值：https://spdx.org/licenses/Apache-2.0.html

LicenseUnion

许可证详细信息。

被如下接口引用：DescribeKBLicense。

名称	类型	描述
LicenseSummary	LicenseSummary	许可证概览信息
LicenseDetail	LicenseDetail	许可证详细信息

PURL

PURL(Package URL)用于定位一个产品或组件，见 https://github.com/package-url/purl-spec。

被如下接口引用：DescribeKBComponent, DescribeKBComponentVersionList, DescribeKBComponentVulnerability, MatchKBPURLList, SearchKBComponent。

名称	类型	必选	描述
Name	String	是	组件名称 示例值：curl
Protocol	String	否	组件所属的类型，如：github, gitlab, generic, deb, rpm, maven 等 示例值：deb
Namespace	String	否	组件名的前缀名，如github和gitlab的用户名，deb的操作系统，maven包的group id等 示例值：debian
Qualifiers	Array of Qualifier	否	修饰组件的额外属性 注意：此字段可能返回 null，表示取不到有效值。
Subpath	String	否	相对于组件包根位置的子目录 示例值：/release
Version	String	否	组件版本号 示例值：7.50.3

Qualifier

PURL下的Qualifier属性类型，用于定义第三方组件的额外属性，见 https://github.com/package-url/purl-spec。

被如下接口引用：DescribeKBComponent, DescribeKBComponentVersionList, DescribeKBComponentVulnerability, MatchKBPURLList。

名称	类型	必选	描述
Key	String	是	额外属性的名称。 示例值：distro_version
Value	String	是	额外属性的值。 示例值：14.04

VulnerabilityDetail

描述漏洞详细信息。

被如下接口引用：DescribeKBVulnerability。

名称	类型	描述
Category	String	漏洞类别 示例值：反序列化
CategoryType	String	漏洞分类 示例值：web应用漏洞
Description	String	漏洞描述 示例值：ApacheLog4j是美国阿帕奇（Apache）基金会的一款基于Java的开源日志记录工具。ApacheLog4J存在输入验证错误漏洞.Log4j-2中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。
OfficialSolution	String	漏洞官方解决方案 示例值：升级到最新无漏洞版本
ReferenceList	Array of String	漏洞信息参考列表 示例值：["https://logging.apache.org/log4j/2.x/security.html", "http://www.openwall.com/lists/oss-security/2021/12/10/1"]
DefenseSolution	String	漏洞防御方案 示例值：目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://www.openssl.org/news/secadv/2019
CVSSv2Info	CVSSV2Info	漏洞CVSSv2信息 注意：此字段可能返回 null，表示取不到有效值。
CVSSv3Info	CVSSV3Info	漏洞CVSSv3信息 注意：此字段可能返回 null，表示取不到有效值。
SubmitTime	String	漏洞提交时间 示例值：2019-09-11 01:15:00
UpdateTime	String	漏洞更新时间 示例值：2019-09-11 01:15:00
CWEID	String	CWE编号 示例值：CWE-311
CVSSv2Vector	String	漏洞CVSSv2向量 示例值：(AV:L/AC:M/Au:N/C:P/I:N/A:N)
CVSSv3Vector	String	漏洞CVSSv3向量 示例值：CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N
AffectedComponentList	Array of AffectedComponent	漏洞影响的组件列表，仅当查询单个漏洞时有效

VulnerabilitySummary

描述漏洞的摘要信息。

被如下接口引用：DescribeKBComponentVulnerability, DescribeKBVulnerability。

名称	类型	描述
VulID	String	漏洞ID 示例值：pcmgr-303514
CVEID	String	漏洞所属CVE编号 示例值：CVE-2019-11236
CNVDID	String	漏洞所属CNVD编号 示例值：CNVD-2021-100238
CNNVDID	String	漏洞所属CNNVD编号 示例值：CNNVD-202112-799
Name	String	漏洞名称 示例值：OpenSSL 拒绝服务漏洞
IsSuggest	Boolean	该漏洞是否是需重点关注的漏洞 示例值：false
Severity	String	漏洞风险等级 Critical High Medium Low 示例值：Low
ArchitectureList	Array of String	架构信息，如x86、ARM等 注意：此字段可能返回 null，表示取不到有效值。 示例值：["x86_64"]
PatchUrlList	Array of String	patch链接 注意：此字段可能返回 null，表示取不到有效值。 示例值：["https://github.com/apache/logging-log4j2/commit/c77b3cb39312b83b053d23a2158b99ac7de44dd3"]

VulnerabilityUnion

描述漏洞的详细信息。

被如下接口引用：DescribeKBVulnerability。

名称	类型	描述
Summary	VulnerabilitySummary	漏洞概览信息
Detail	VulnerabilityDetail	漏洞详细信息