压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

2019年超過55％的開源漏洞被評(píng)為高或嚴(yán)重，但不要被這個(gè)數(shù)字嚇到，要真正了解漏洞及其對(duì)企業(yè)或產(chǎn)品的威脅等級(jí)，我們需要信息的絕不只是一個(gè)冷冰冰的CVSS評(píng)分。

根據(jù)WhiteSource的《開源安全漏洞現(xiàn)狀報(bào)告》，軟件開發(fā)行業(yè)對(duì)開源組件越來越依賴,對(duì)開放源代碼安全漏洞的關(guān)注度也不斷提升，導(dǎo)致發(fā)現(xiàn)的開放源代碼漏洞數(shù)量也逐年增加，2019年開源軟件漏洞的數(shù)量呈現(xiàn)爆發(fā)式增長(zhǎng)（下圖）。

面對(duì)代碼庫中不斷增多的開源漏洞，軟件開發(fā)企業(yè)如何才能跟上長(zhǎng)長(zhǎng)的安全警報(bào)清單，確保他們能夠優(yōu)先修復(fù)最緊急的問題？

安全警報(bào)的優(yōu)先級(jí)已成為漏洞管理的重要組成部分，許多企業(yè)都將CVSS（通用漏洞評(píng)分系統(tǒng)）評(píng)分作為確定其開源安全漏洞優(yōu)先級(jí)的客觀標(biāo)準(zhǔn)。但是，WhiteSource研究報(bào)告中的數(shù)據(jù)表明，僅依靠CVSS等級(jí)進(jìn)行優(yōu)先級(jí)排序?qū)ζ髽I(yè)幫助不大。

CVSS評(píng)分的進(jìn)化

自2005年以來，F(xiàn)IRST（事件響應(yīng)和安全團(tuán)隊(duì)論壇）創(chuàng)建的CVSS已成為評(píng)估漏洞嚴(yán)重性的事實(shí)標(biāo)準(zhǔn)。在CVSS中，研究人員檢查漏洞的屬性、時(shí)間、影響和環(huán)境指標(biāo)，以了解漏洞利用的難度以及漏洞被攻擊者成功利用后可能造成的破壞程度。

多年來，隨著安全社區(qū)致力于改進(jìn)評(píng)分系統(tǒng)，CVSS不斷發(fā)展和更新版本，添加了新參數(shù)，例如于2015年發(fā)布的CVSS v3增加了“范圍和用戶交互”指標(biāo)，這些信息比CVSS v2中提供的信息更詳細(xì)。在CVSS v2中，漏洞評(píng)分是基于該漏洞對(duì)主平臺(tái)的總體影響，而在CVSS v3中，漏洞評(píng)分是基于對(duì)特定組件的影響。而最新發(fā)布的CVSS v3.1則旨在“明晰和改進(jìn)現(xiàn)有標(biāo)準(zhǔn)”。

但是，雖然v3為幫助企業(yè)更好地判定漏洞的嚴(yán)重性提供了更細(xì)粒度的信息，但企業(yè)也應(yīng)該意識(shí)到，遷移到V3.1新標(biāo)準(zhǔn)會(huì)對(duì)評(píng)分產(chǎn)生重大變化。

不同版本CVSS評(píng)分?jǐn)?shù)據(jù)差異大

WhiteSource的研究報(bào)告分析了2016年至2019年間報(bào)告的10000多個(gè)開源漏洞的CVSS評(píng)分，以比較由CVSS v2，v3.0和v3.1三個(gè)版本的漏洞嚴(yán)重程度評(píng)分的變化（下圖）。

資料來源：WhiteSource

數(shù)據(jù)顯示，v3.0和v3.1分?jǐn)?shù)明顯高于v2分?jǐn)?shù)。例如，在v2下一個(gè)CVSS評(píng)分7.6的漏洞在v3.x標(biāo)準(zhǔn)下的評(píng)分可高達(dá)9.8分。

將v2.0評(píng)級(jí)標(biāo)準(zhǔn)與v3.0評(píng)級(jí)標(biāo)準(zhǔn)進(jìn)行比較，可以部分解釋這一巨大變化：

資料來源：WhiteSource

嚴(yán)重和高危漏洞呈上升趨勢(shì)

從以上對(duì)比可以看出， CVSS v3.x的漏洞分?jǐn)?shù)普遍較高于之前的版本，通過比較CVSS v3漏洞的嚴(yán)重性評(píng)分的分布，我們可以更好地了解威脅性較高（High）和嚴(yán)重（Critical）的開源漏洞分布。

資料來源：WhiteSource

2019年的數(shù)字表明，2019年開放源代碼漏洞增加了50％，超過55％的CVE被評(píng)為高或嚴(yán)重。這意味著不僅更多的CVE被歸類為高危和嚴(yán)重漏洞，此類漏洞的總量也在增加。

CVSS v3.1版本首次強(qiáng)調(diào)其評(píng)分衡量的是漏洞的嚴(yán)重性而不是風(fēng)險(xiǎn)。而CVSS的最新定位是：為用戶提供更全面、更精確的上下文，以及對(duì)漏洞嚴(yán)重性評(píng)分的共享理解，允許更多用戶利用該信息。但是數(shù)據(jù)顯示，雖然計(jì)分方法的不斷發(fā)展，但是開發(fā)人員和安全團(tuán)隊(duì)依然使用有限的優(yōu)先級(jí)工具來處理大量高嚴(yán)重性漏洞。

漏洞嚴(yán)重性評(píng)分分布不平衡（高危漏洞占比高）的原因有很多。例如安全社區(qū)對(duì)高危問題更加關(guān)注，以及CVE創(chuàng)建過程較為困難和耗時(shí)，導(dǎo)致威脅性較低的漏洞被排除在CVE之外。那么問題來了，開發(fā)和安全團(tuán)隊(duì)如何解決這種不平衡？

CVSS評(píng)分可以作為漏洞修補(bǔ)優(yōu)先級(jí)的參考依據(jù)嗎？

隨著安全形勢(shì)的不斷發(fā)展，我們知道，要真正理解漏洞及其對(duì)企業(yè)或產(chǎn)品的影響，一個(gè)評(píng)分?jǐn)?shù)字是遠(yuǎn)遠(yuǎn)不夠的。例如，一個(gè)評(píng)分很低的胰島素泵漏洞，卻有可能危及生命。同時(shí)，一個(gè)漏洞的嚴(yán)重程度和優(yōu)先級(jí)還與漏洞暴露時(shí)間、武器化進(jìn)度和利用難度等諸多因素相關(guān)。

V3.1基于這樣的理解，即不應(yīng)將CVSS分?jǐn)?shù)視為唯一參數(shù)。在評(píng)估我們資產(chǎn)中的安全漏洞風(fēng)險(xiǎn)時(shí)，需要考慮諸如脆弱性的依賴關(guān)系或網(wǎng)絡(luò)架構(gòu)和配置等因素。

DevSecOps團(tuán)隊(duì)需要在漏洞評(píng)估中將企業(yè)的軟件清單、云環(huán)境和網(wǎng)絡(luò)結(jié)構(gòu)都考慮在內(nèi)，基于風(fēng)險(xiǎn)和威脅實(shí)施高效漏洞管理，不要過于依賴 CVSS 來決定漏洞修復(fù)的優(yōu)先級(jí)。CVSS是風(fēng)險(xiǎn)評(píng)估的一個(gè)重要變量，但并不能代表風(fēng)險(xiǎn)本身。

安全牛《2020高效漏洞管理指南》現(xiàn)已開始接受預(yù)訂，預(yù)訂郵箱：report@aqniu.com，郵件主題關(guān)鍵詞：高效漏洞管理。

參考資料

WhiteSource開源漏洞現(xiàn)狀報(bào)告：

https://resources.whitesourcesoftware.com/research-reports/the-state-of-open-source-vulnerabilties-2020