开源漏洞库就是网上公开的漏洞数据库，里面装着各种软件和硬件的漏洞信息。比如CVE这个库啊，每年都有几千个新漏洞被发现，像大前年就有1万多条记录。扫描的时候呢，就是用工具比如OpenVAS或者Nessus，把这些漏洞库里的信息跟自己的设备对一下，看看有没有中招的。比如绿盟的报告说啊，前年有38%的企业没及时修补高危漏洞，这就是用漏洞库扫描出来的问题。

为什么得用这些库呢？首先啊，这些库都是权威机构维护的，像NVD是美国的官方库，收录了超过20万条漏洞数据。OpenVAS是免费的，能自动扫描100多种系统。再说啊，现在漏洞库更新特别勤快，像CVE每天至少更新几十条，跟不上的话扫描结果就不准。去年某安全公司统计的，用漏洞库扫描发现的漏洞，有65%是厂商没公布的零日漏洞。所以啊，平时得定期更新漏洞库，像绿盟建议每季度扫描一次，这样才防得住新出现的风险。不过要注意的是，有些库可能信息过时，得挑最新的用，比如NVD的漏洞描述比厂商原版详细50%以上呢。