Software Supply Chain Vulnerability Localization

围绕 SBOM、CNVD/NVD 数据和开源组件漏洞修复定位做过一套数据系统和排序流程。

Context#

这是我比较早接触真实工程数据链路的项目。

项目围绕软件供应链安全展开，主要关注如何从 SBOM、公开漏洞源和开源仓库信息中定位相关漏洞和修复线索。

What I worked on#

我参与了漏洞数据系统和修复排序流程的建设，涉及：

• CNVD / NVD 数据同步；
• SBOM 解析；
• 开源组件信息整理；
• 漏洞与组件的关联；
• 修复 commit / patch 线索追踪；
• 基于规则和 AI 辅助的排序流程。

What I learned#

这个项目让我第一次比较系统地接触“工程数据如何变成可用系统”。

很多时候难点不是模型，而是数据来源、字段清洗、实体对齐、版本匹配和结果可解释性。

这段经历后来也影响了我看 AI Infra 的方式：系统里的很多价值来自数据链路，而不只是最终算法。