Sign up for a free recipe e-book →

Juan Oliva

OWASP CVE Lite con I.A. Gemini

Published by

jroliva

on

Es un escáner en modo consola (CLI) especializado en detectar vulnerabilidades en dependencias JavaScript, lo cual facilita su integración en un entorno de C.D. y C.I. Soporta los cuatro gestores de paquetes de JavaScript más importantes: npm, pnpm, Yarn y Bunantes. Además, permite la integración con Agentes I.A. como Gemini.

CVE-Lite, consulta la base de datos de Vulnerabilidades de Código Abierto (OSV) para obtener los cve.

La Integración con IA, incluye un comando integrado que instala archivos de skills para cinco agentes IA. con el objetivo de realizar análisis de vulnerabilidades de CVE-Lite desde IA. Gemini, y así generar el reporte, leer los resultados y generar un plan de remediación priorizado, sin necesidad de ninguna intervención humana.

1.- Instalación en Kali Linux
Ejecutar:

sudo npm install -g cve-lite-cli

Una vez instalado podemos verificar la versión de la siguiente forma :

cve-lite –version

Con ello, tendremos CVE-Lite instalado en Kali Linux.

2.- CVE-Litle integrado con IA. Gemini.
Vamos a descargar el código del repositorio de la aplicación web Juice Shop, ya que vamos a aprovechar que tiene, varios componentes Javascript.

git clone https://github.com/juice-shop/juice-shop.git

En la raíz del proyecto, ejecutar:

cd /home/kali/juice-shop
cve-lite install-skill

El comando instala los skills necesarios para que los diferentes agentes I.A. puedan interactuar con CVE-Litle.

Luego en la carpeta misma carpeta, ejecutaremos Gemini y nos preguntará si le queremos brindar permisos sobre el repositorio de la siguiente forma:

Una vez que I.A. Gemini obtiene los permisos sobre el repositorio local, ejecutaremos el comando:

/cve-lite

El cual será reconocido por Gemini para ejecutar CVE-Lite, de esta forma realizará el escaneo el repositorio y análisis de vulnerabilidades, de la siguiente forma:

Una vez que terminar el proceso, basado en el reporte generado por CVE-Lite, nos ordena y prioriza los hallazgos de esta forma:

3.- Conclusiones.
OWASP CVE-Lite al ser una herramienta especializada en buscar vulnerabilidades en componentes JavaScript ayuda mucho en tener esa visibilidad a nivel de riesgos en nuestras aplicaciones, sumado a la potencia que le brinda la integración con agentes I.A. le brinda un valor muy diferencial para poder tener no solo más rapidez, sino también certeza sobre los hallazgos encontrados.


Más información
https://owasp.org/cve-lite-cli/
https://owasp.org/cve-lite-cli/docs/ai-assistant-integration

Espero les sirva
Juan Oliva

Deja un comentario

Juan Oliva

Consultor en Ciberseguridad con mas de 17 años de experiencia en el campo, muy involucrado en proyectos de Ethical Hacking, análisis y explotación de vulnerabilidades en infraestructura, aplicaciones web, APIs y Móviles, pruebas de ingeniería social y revisión de código.

Entradas recientes