Security 如果NVD CVE描述包含文件名，是否意味着引用的项目是开源的？

我正试图找到尽可能多的开源项目repo，以便将来进行漏洞研究。在处理NVD提要数据时，我发现一些CVE描述包含导致该漏洞的源代码的文件名甚至函数名，这是否意味着这些项目是开源的

---

同时，有没有更好的方法或数据来源可以帮助我实际获得所提及的项目回购协议？（例如CVE-2018-13305-->FFmpeg）

第一个问题的简短答案是否定的。NVD数据基于MiTRE的CVE记录。一旦MiTRE发布了CVE的详细信息，由CVE请求者或CNA提交的详细信息，NVD将执行额外的分析

如果CVE请求者/CNA提供文件名/功能等详细信息，则该信息将出现在CVE记录中，或者如果NVD能够从公开来源确定这些详细信息，则他们可以将其添加到分析中。也就是说，你会发现闭源CVE拥有这种类型的细节是极其罕见的

因此，尽管CVE描述包含文件名或函数这一事实很好地表明了所讨论的软件是开源的，但这并不是一条规则

---

第二个问题的答案是否定的。嗯，有很多方法，但这个问题太宽泛了，无法在这里讨论

要回答你的第一个问题，可能是，也可能不是。我已经看到了非开源漏洞的描述，其中列出了易受攻击的文件/模块/函数名

回答你的第二个问题，是的，有一种方法。在NVD JSON提要中，您将看到每个漏洞都有对供应商对手的引用和其他在线外部引用。在引用链接字段中，您可以看到字段url和标记（url是URI，标记是url的描述）。为了实现您所期望的目标，我将首先查找git存储库中链接到提交的所有漏洞（提示：不仅仅是github）。接下来，您可以看到哪些git引用过滤了所有链接到其他非开源漏洞POC的引用