第三章 漏洞数据库和评分方法

关于应用程序安全和漏洞管理的对话的一个关键方面是对漏洞进行分类和评分的方法。这是推动软件透明度的一个重要方面,更重要的是,软件安全。如果不了解存在哪些软件漏洞以及这些漏洞的评分方式,组织就很难确定漏洞的优先级以进行修复。软件生产商可以确定漏洞的优先级进行修复,以降低客户的风险,并告知客户其产品中漏洞的严重性和可利用性。软件消费者可以了解他们正在使用的软件的固有风险,并就其消费和使用做出风险知情决策。

3.1公共漏洞与暴露

“公共漏洞与暴露”(CVE)是一个项目,旨在识别、定义和编目公开披露的影响软件或硬件的网络安全漏洞。作为一个组织,CVE涉及国际研究人员和组织的参与,这些合作伙伴帮助发现和发布漏洞,并以标准化格...

3.2国家漏洞数据库

漏洞有助于指导软件生产者和消费者降低风险,并为行业提供广泛的关于生态系统中存在的漏洞的知识。虽然行业中有多个漏洞数据库,但最著名的例子之一是NIST的国家漏洞数据库(NVD; https://n...

3.3软件标识格式

推动软件供应链安全性和软件透明度的一个基本方面是需要有效的方法来识别软件组件,包括拥有足够的信息来唯一地识别每个软件组件。然而,这种需求远不是一个微不足道的问题,因为软件领域由数千个不同的软件供...

3.4 Sonatype OSS索引

随着OSS的采用不断增长,并日益对现代应用程序和产品的重要部分做出贡献,人们越来越需要了解与OSS组件相关的风险。超声型OSS指数已经成为一个帮助解决这个问题的著名来源。该索引提供了数百万个OS...

3.5 开源漏洞数据库

2021年,谷歌安全发布了(https://security.googleblog.com/2021/02/ launching-osv-better-vulnerability.html)开源...

3.6 全球安全数据库

尽管 CVE 计划得到了广泛采用,但许多人指出该计划存在问题,其方法以及无法跟上动态技术格局。随着云计算的兴起,云安全联盟 (CSA;https://cloudsecurityalliance....

3.7 公共漏洞评分系统

虽然CVE计划提供了一种识别和记录漏洞的方法,NVD丰富了CVE数据并将其呈现在一个强大的数据库中,但通用漏洞评分系统(CVSS)则评估安全漏洞的严重性并分配严重性分数。CVSS致力于捕捉软件、...

3.8 漏洞预测评分系统

基于对CVSS的批评,一些人呼吁使用漏洞预测评分系统(Exploit Prediction Scoring System, EPSS)或将CVSS与EPSS结合,以使漏洞指标更具可操作性和效率。...

3.9 EPSS模型

EPSS旨在帮助安全从业者及其组织改进漏洞优先级排序工作。在当今的数字环境中,识别出的漏洞数量呈指数增长,这一数量因系统和社会的数字化程度提高、对数字产品的审查增加以及研究和报告能力的提高而不断...

3.10 EPSS的批评意见

与CVSS类似,EPSS也受到业界和学术界的批评。卡内基梅隆大学软件工程研究所(SEI)博客上的一篇文章《Probably Don’t Rely on EPSS Yet》(https://ins...

3.11 CISA的观点

随着关于漏洞优先级排序和管理的讨论日益激烈,像CISA这样的组织也对此发表了看法。2022年11月发表的一篇题为《Transforming the Vulnerability Managemen...

3.12 行动意见

CISA 指导意见优先考虑的步骤包括使用 CSAF 自动化安全公告,并通过 VEX 等资源告知软件消费者漏洞利用的影响。然而,同时也明确指出,需要主观的网络安全专业知识,尤其是在复杂的决策树中。...

3.13 小结

在本章中,我们了解了行业漏洞数据库和评分方法。这包括传统漏洞数据库及其潜在的局限性,以及整个漏洞生态系统中新兴的数据库。我们还审视了常见的软件身份格式及其带来的挑战,以及为缓解这些挑战所提出的解...
Back to top