openvas.org

一句话介绍

OpenVAS（Open Vulnerability Assessment System）是由德国 Greenbone Networks 主导开发的开源漏洞扫描器，项目托管于 openvas.org。它本质上是 Greenbone 社区版的核心组件，提供企业级漏洞检测能力，但完全免费。之所以有人选它，是因为它在商业漏洞扫描器动辄数千美元年费的情况下，给出了一个零成本、可自建、功能不缩水的替代方案，尤其适合预算有限但需要合规化安全测试的团队。

业务详解

OpenVAS 最初是 Nessus 的开源分支，后来由 Greenbone 接手并持续迭代。它的核心服务是一套完整的漏洞管理框架，包括定期更新的漏洞数据库（当前覆盖超过 5 万个 CVE）、扫描引擎、以及基于 Web 的前端管理界面。用户可以在自己的服务器上部署，按需扫描内网或公网资产，生成详细的漏洞报告，包含风险等级、技术描述和修复建议。其行业地位属于开源漏洞扫描领域的标杆，全球大量中小安全团队、渗透测试实验室和培训机构都在使用它。客户类型覆盖从个人安全爱好者到跨国企业的 SOC 团队，但需要说明的是，官方主要面向技术能力较强的用户，非商业化销售模式，因此没有传统意义上的“客户服务”，只有社区论坛和文档支持。

适合谁用

• 个人安全研究员或白帽黑客：需要免费工具做实验、挖漏洞、写报告，OpenVAS 的完整功能链正好满足。
• 小团队安全运维人员：公司没有预算买 Nessus Pro 或 Qualys，但必须定期做漏洞扫描以满足等保或 ISO 27001 要求，可以用 OpenVAS 搭建内部扫描平台。
• 开发者或 DevOps 团队：想集成漏洞扫描到 CI/CD 流水线，OpenVAS 提供命令行工具和 API，适合自动化场景。
• 培训机构或高校实验室：教学生理解漏洞扫描原理，OpenVAS 的透明代码和可控环境比黑盒商业软件更好用。
• 不适合人群：完全不懂 Linux 命令行和网络配置的新手，或者需要 7×24 小时电话技术支持的企业，OpenVAS 的上手门槛和社区支持模式会让人头疼。

关键功能与亮点

• 完全开源免费：GPLv2 协议，代码可审计、可二次开发，无任何功能阉割或使用期限限制。
• 海量漏洞库：每日自动更新，覆盖超过 50,000 条 CVE，包括 Web 应用、操作系统、数据库、IoT 设备等常见类别。
• 多协议扫描：支持 TCP、UDP、HTTP、SMB、SNMP、SSH 等多种协议，能检测未打补丁、弱口令、配置错误等问题。
• 灵活的部署模式：支持单机、分布式（客户端/服务器）、Docker 容器化部署，适配 Linux 和部分 BSD 系统。
• 报告导出丰富：可生成 HTML、PDF、CSV、XML 等格式报告，包含 CVSS 评分、风险排序和修复建议，满足合规审计需求。
• 任务调度与自动化：支持定时扫描、增量扫描、以及通过 Greenbone Security Assistant API 集成到第三方平台。

价格分析

OpenVAS 本身价格为零——它是开源软件，无需任何授权费或订阅费。但需要留意“隐藏成本”：你需要一台至少 4 核 CPU、8GB 内存、50GB 磁盘的 Linux 服务器来部署（推荐 Ubuntu/Debian），如果租用云服务器，月费约 5-20 美元（根据配置）。此外，漏洞库更新依赖 Greenbone 的社区 Feed，虽然免费，但更新速度比商业版 Feed（Greenbone Enterprise Feed，年费约 2000 欧元起）慢 1-2 天，且不包含某些专有检测规则。对比同类产品：Nessus Professional 年费约 3,000 美元，Qualys 按资产收费，OpenVAS 在成本上碾压所有商业方案，但代价是安装维护时间和学习曲线。如果你有人力投入，它绝对是性价比之王；如果算上人力成本，可能比商业软件更贵。

中国用户怎么用

• 网络通畅性：基本可用。openvas.org 官网和 Greenbone 的更新服务器在国内部分地区可能访问缓慢，但通常不需要科学上网就能下载安装包和漏洞库。建议使用国内镜像源（如阿里云、清华 TUNA）加速 apt 安装，或者直接下载离线包。
• 支付方式：不涉及。因为免费，无需任何支付步骤。
• 是否需要科学上网：安装和日常更新一般不强制，但访问官方文档、社区论坛或下载最新 Feed 时，偶尔会遇到 DNS 污染或连接超时。建议准备一个稳定的梯子以备用，尤其是第一次初始化时。
• 国内同类替代品：如果觉得 OpenVAS 安装麻烦，可以考虑国内商业产品如安恒的明御漏洞扫描器（付费）、绿盟的 RSAS（付费），或者开源方案如 Goby（国产，界面友好，但功能深度不如 OpenVAS）。另外，阿里云和腾讯云的安全中心提供基础漏洞扫描，但深度不够。
• 发票问题：OpenVAS 官方不提供发票，因为它是开源社区项目。如果你需要报销，只能找第三方服务商（如某些国内公司提供 OpenVAS 托管或定制服务），或者自建后开内部成本单。

优缺点对比

优点：

• ✅ 完全免费：零授权费，适合预算紧张的场景。
• ✅ 功能强大：漏洞库覆盖广，扫描深度不输商业产品。
• ✅ 可定制性高：开源代码，能自己改插件、写检测规则。
• ✅ 社区活跃：GitHub 上 issue 响应快，文档和教程丰富。
• ✅ 跨平台兼容：支持主流 Linux 发行版和 Docker。

缺点：

• ❌ 安装配置复杂：新手可能需要花半天时间搭建环境，尤其是配置 PostgreSQL 和 Redis。
• ❌ 性能开销大：扫描大型网络时 CPU 和内存占用高，需要较好的硬件。
• ❌ 更新滞后：社区 Feed 比商业版慢，部分 0-day 漏洞检测可能延迟。
• ❌ 无官方技术支持：遇到问题只能靠社区或自己排查，企业级支持需购买 Greenbone 商业订阅。
• ❌ UI 不够现代：Web 界面功能齐全但风格老旧，交互体验不如 Nessus 或 Qualys。

同类产品对比

• Nessus Professional：行业标准，闭源收费，年费约 3,000 美元。优点是安装简单、UI 友好、漏洞库更新快；缺点是价格高、不支持二次开发。OpenVAS 适合预算有限且技术能力强的团队，Nessus 适合需要快速上手和商业支持的企业。
• Qualys：SaaS 云模式，按资产数收费，年费通常 5,000 美元起。优点是无需本地部署、报告合规性强；缺点是长期成本高、数据必须上传到云端。OpenVAS 适合对数据隐私敏感、希望本地控制的用户。
• Goby：国产开源扫描器，界面现代，支持 POC 插件生态。优点是中文文档全、上手快；缺点是漏洞库深度和稳定性不如 OpenVAS。两者定位接近，但 Goby 更适合渗透测试场景，OpenVAS 更适合合规性批量扫描。

总结建议

OpenVAS 最适合以下场景：你的团队有 Linux 运维基础，需要定期做内网漏洞扫描，但预算不允许购买商业工具；或者你是安全学习者，想深入了解漏洞检测原理。它不适合那些追求“开箱即用”、不想折腾服务器配置、或者需要 7×24 小时电话支持的企业。强烈建议你先在虚拟机或 Docker 中免费试用，感受一下安装流程和扫描效果——如果觉得能接受，再部署到生产环境。对于中国用户，如果担心网络问题，可以提前下载好离线安装包和漏洞库，后续更新按需手动导入即可。总之，OpenVAS 是开源安全工具箱里的“瑞士军刀”，值得一试，但别指望它像商业软件一样省心。