five

Homebrew Advisory Database

收藏
github2026-06-29 更新2026-07-03 收录
下载链接:
https://github.com/andrew/homebrew-advisory-database
下载链接
链接失效反馈
官方服务:
资源简介:
Homebrew包的OSV格式漏洞记录。每条记录描述影响homebrew-core公式的CVE,以及通过应用补丁修复的Homebrew版本+修订号。这是一个早期演示,目前仅涵盖公式的`patch`块声明(或推断)为已解决的CVE,源自`brew info --json=v2`中的`patches[].resolves`。记录遵循OSV模式,使用`Homebrew`生态系统、`pkg:brew/<name>` purls和`BREW-<formula>-<CVE>` id。数据以CC0 1.0许可证发布。

OSV-formatted vulnerability records for Homebrew packages. Each entry describes a Common Vulnerabilities and Exposures (CVE) affecting a homebrew-core formula, alongside the Homebrew version and revision number where the vulnerability is remediated via applied patches. This is an early-stage demonstration dataset that currently only covers CVEs whose fixes are either declared or inferred through the formula's `patch` blocks, sourced from the `patches[].resolves` field in the output of the `brew info --json=v2` command. The records follow the OSV schema, utilizing the `Homebrew` ecosystem, `pkg:brew/<name>` purls, and `BREW-<formula>-<CVE>` identifiers. The dataset is released under the CC0 1.0 Universal Public Domain Dedication.
创建时间:
2026-06-29
原始信息汇总

数据集概述:Homebrew Advisory Database

该数据集是一个针对 Homebrew 包管理器(homebrew-core 仓库)的漏洞记录集合,以 OSV(Open Source Vulnerabilities)格式 存储。每条记录描述一个影响特定 Homebrew 软件包(formula)的 CVE,并指明该漏洞在哪个 Homebrew 版本(含修订号)中被补丁修复。

记录格式与结构

  • 格式标准:遵循 OSV schema
  • 生态系统:使用 Homebrew 作为生态系统标识。
  • PURL:格式为 pkg:brew/<name>
  • 记录ID:格式为 BREW-<formula>-<CVE>(例如 BREW-lrzsz-CVE-2018-10195)。
  • 关键字段
    • upstream:链接到原始的 CVE 来源。
    • affected 中的 ranges:使用 ECOSYSTEM 类型范围,introduced 通常为 0(表示首次引入),fixed 指向修复该漏洞的 Homebrew 版本+修订号(如 0.12.20_1)。
    • ecosystem_specific:包含修复补丁信息(fix 值为 patch),以及补丁的 URL 和应用的文件列表。

版本表示规则

Homebrew 版本由上游版本和可选的 _N 修订后缀组成。例如:1.81.6_5 < 1.81.6_6 < 1.82.0

数据生成与维护

  • 生成工具:通过 brew vulns --osv-export 命令生成。
  • 更新频率:由 Regenerate 工作流每天重新生成。
  • 验证机制:每次提交(push)都会自动验证其是否符合 OSV JSON schema。

最新状态

  • 注册状态:尚未在 osv.dev 上注册。计划将该仓库转移到 Homebrew 组织,然后提交新的数据源申请。
  • 上游待办事项
    • ossf/osv-schema 中注册 BREW- ID 前缀和 Homebrew 生态系统(当前验证工作流会临时将这些值补入模式枚举中)。
    • package-url/purl-spec 中注册 pkg:brew PURL 类型(参见 PR #796 和 issue #254)。
    • 在 osv.dev 的 purl_helpers.py 中添加对 pkg:brew 的处理,并在 _ecosystems.py 中添加 Homebrew 版本比较器。

许可协议

该数据集中的漏洞数据采用 CC0 1.0 协议发布。

搜集汇总
数据集介绍
main_image_url
构建方式
在开源软件生态系统中,软件包的版本迭代与漏洞修复记录对于维护供应链安全至关重要。Homebrew Advisory Database 通过解析 Homebrew 包管理器 6.0.4 以上版本中 `brew info --json=v2` 输出的 `patches[].resolves` 字段,提取已声明修复的 CVE 编号,并结合公式的 patch 块信息,生成符合 OSV 格式的漏洞记录。每条记录以 `BREW-<formula>-<CVE>` 为唯一标识符,采用 `pkg:brew/<name>` 的 PURL 格式进行包定位,并由 GitHub Actions 工作流每日自动更新与验证。
使用方法
用户可通过 Homebrew 内置的 `brew vulns --osv-export` 命令本地生成该数据集的子集,或直接从 GitHub 仓库获取每日更新的完整 OSV 记录。在开发或 CI 流水线中,可将这些 JSON 文件作为输入,利用 OSV 扫描工具(如 osv-scanner)对 `pkg:brew/<name>` 类型的依赖进行漏洞匹配。由于数据集尚未注册至 osv.dev,可通过手动导入方式集成至现有安全监控系统,或等待未来生态集成后通过 OSV API 直接查询。
背景与挑战
背景概述
Homebrew Advisory Database 是一个针对 Homebrew 软件包生态系统构建的开源漏洞数据库,采用 OSV(Open Source Vulnerabilities)格式存储。该项目由 Homebrew 社区开发,旨在系统记录影响 homebrew-core 公式的 CVE 漏洞及其修复版本。其核心研究问题在于如何自动化捕获并结构化呈现 macOS 包管理器中的安全补丁信息。该数据库的创建填补了 Homebrew 安全元数据标准化的空白,为上游漏洞追踪体系(如 osv.dev)提供了可互操作的数据源,对保护数万 Homebrew 用户的软件供应链安全具有重要意义。
当前挑战
该数据集面临多重挑战:首先,当前仅覆盖通过 `brew info --json=v2` 中 `patches[].resolves` 显式声明的 CVE,大量隐式修复或未标注的补丁信息无法收录,形成完整性缺口。其次,`fixed` 版本边界存在精度问题——当前记录的是生成时刻的版本号而非实际引入补丁的修订版本,需对 homebrew-core 仓库进行精细的 Git 考古分析才能校准。此外,`BREW-` 标识符前缀与 `pkg:brew` 包URL类型尚未被 OSV 标准及 osv.dev 官方注册,导致当前数据无法被主流漏洞平台直接收录和查询,需推动多方标准化协作才能实现全链路集成。构建层面,每日自动生成的流程依赖上游公式元数据的精准性,而补丁来源的异构性(如不同公式使用不同补丁声明方式)使得自动化解析存在误差风险。
常用场景
经典使用场景
Homebrew Advisory Database 的核心价值在于为 macOS 生态中广泛使用的 Homebrew 包管理器提供结构化的漏洞记录。作为 OSV(Open Source Vulnerability)格式的适配数据库,它精准捕获了 homebrew-core 软件源中每个公式(formula)所关联的 CVE 漏洞,并详细标注了通过补丁修复的版本与修订号。该数据集的经典使用场景聚焦于安全研究人员和软件维护者追踪 Homebrew 包的漏洞生命周期——从漏洞引入的初始版本到修复版本,再到补丁的具体来源与应用文件列表。这种高粒度的版本锚定机制使得自动化漏洞扫描工具能够基于此数据库快速判断用户安装的特定公式是否存在已知风险,从而在 macOS 开发环境中实现高效且精准的软件供应链安全审计。
解决学术问题
在学术研究领域,该数据集系统性地解决了 Homebrew 包生态中漏洞元数据缺失与碎片化的长期难题。以往,macOS 下的开源软件漏洞信息散落在多个非结构化渠道,导致安全建模和影响分析困难重重。Homebrew Advisory Database 通过标准化 OSV 格式统一了 CVE 描述、严重性评分、引用链接以及补丁细节,使研究者能够基于此构建大规模的跨版本漏洞图谱。它有力支撑了软件漏洞传播建模、补丁覆盖率评估以及包管理器安全对比分析等学术课题。该数据集的开放获取(CC0 许可)与每日自动更新机制,不仅降低了研究数据获取门槛,更推动了针对 macOS 独特包管理架构的安全研究向系统化、可复现的方向演进,对开源软件供应链安全理论具有奠基性意义。
实际应用
实际应用中,Homebrew Advisory Database 已经成为 macOS 开发者和运维人员保障软件供应链安全的关键基础设施。搭载于 `brew vulns --osv-export` 命令,它能为每次 homebrew-core 更新生成精准的漏洞状态快照,让开发者在日常迭代中实时获悉所依赖公式的 CVE 风险。企业级的安全审计平台可以集成此数据库,自动扫描批量开发机或 CI/CD 环境中的 Homebrew 软件栈,在漏洞曝露第一时间定位并建议升级版本。此外,由于记录遵循 OSV 标准,该数据集天然兼容于主流漏洞聚合平台,便于安全团队将 Homebrew 包漏洞纳入统一的风险管理看板。这种从补丁解析到版本修复的闭环能力,使得该数据集在 devops 安全流程中扮演着高频且不可替代的漏洞情报哨兵角色。
数据集最近研究
最新研究方向
在当前软件供应链安全备受关注的背景下,Homebrew Advisory Database的推出标志着包管理器漏洞管理迈向标准化与自动化。该数据集以OSV格式系统收录Homebrew核心仓库中由CVE标识的安全缺陷,并精准关联修复补丁的版本信息,为开发者提供了可机读的漏洞追踪能力。其前沿研究方向聚焦于通过自动化的补丁标注与版本回溯,构建细粒度的受影响版本范围模型,从而提升漏洞预警的精确性。这一工作与近期业界对开源生态安全透明度的迫切需求相呼应,尤其是在Log4j等重大漏洞事件后,社区对可互操作的漏洞数据格式的呼声日益高涨。该数据库的建立不仅增强了Homebrew生态的韧性,更为跨平台包管理器的安全协同治理树立了典范,具有深远的行业影响。
以上内容由遇见数据集搜集并总结生成
二维码
社区交流群
二维码
科研交流群
商业服务