通过 CVE 优先级确保开源安全

by Canonical on 21 November 2023

最近的一项研究显示，企业市场上 96% 的应用程序均使用开源软件。随着开源环境变得越来越分散，评估潜在安全漏洞对组织的影响可能变成一项必须执行的任务。Ubuntu 被誉为最安全的操作系统之一，为什么呢？Ubuntu 是安全领域的领导者，因为 Ubuntu Security 团队每天都在修复并发布针对已知漏洞的更新软件包。事实上，团队平均每天都会提供 3 个以上的更新，而最重要的更新是在 24 小时内准备、测试和发布的。为了取得这样的结果，Canonical 设计了一套稳健的流程来检查、优先排序并首先修复最重要的软件漏洞。软件漏洞作为公共漏洞和暴露 (CVE) 系统的一部分进行追踪检测，Ubuntu Security 团队（通过 Ubuntu Security 通知 — USN）发布的几乎所有安全更新都是针对特定公开的 CVE。 

稳健的分类流程

Ubuntu Security 团队管理自己的 CVE 数据库，以对 Ubuntu 存档中的软件包追踪检测各种 CVE。作为该流程的一部分，团队每天都会对来自各种来源（包括 MITRE、NIST NVD 等）的最新公开漏洞进行分类。该分类流程中包括评估每一个新公开宣布的 CVE 并确定 Ubuntu 中哪些软件包（如有）可能受到影响，收集修补软件包所需的任何信息（包括上游补丁），以及注意任何潜在的漏洞缓解措施。一旦对适用软件包完成 CVE 分类，便为其分配优先级，包括可忽略、低、中、高和关键。然后，Ubuntu Security 团队根据该优先级来指示应当首先解决哪些漏洞。

安全性与稳定性

对软件进行任何更改都会带来触发功能回归的风险。虽然 Canonical 尽力测试和验证所做的任何更改，但不可能覆盖每个用户的所有用例，因此存在功能受到影响的固有风险。所以必须始终要在通过修复任何安全问题所获得的价值与带来的潜在回归风险之间进行权衡。这种平衡之举与其说是一门科学，不如说是一门艺术，难以捕捉到其中的明确规则，不过，对于低或中等优先级的漏洞，尤其需要非常仔细地考虑回归风险。诸如代码运行时长、后端代码结构差异、受影响功能范围以及软件包用户基础等因素都要考虑在内。Canonical 力图通过这种方式，为所有 Ubuntu 用户提供最安全、最稳定的平台。

CVE 扩展检查 

评估 CVE 严重程度的常用方法是使用通用漏洞评分系统 (CVSS)。这旨在为特定漏洞的严重程度提供一个数值，以便对漏洞进行比较。特定 CVE 的 CVSS 分数要结合许多输入数据进行计算，虽然这样可以考虑到漏洞的各个方面，但无法捕捉到特定漏洞所带来的风险。特别需要注意的是，虽然 CVSS 设计用于评估漏洞在技术上的严重程度，但它经常被误用，而不是作为漏洞优先排序或风险评估的手段。特别是，对于通过 CVSS 未捕捉到的特定漏洞，有许多重要方面需要考虑，包括特定软件包已安装或正在使用中的可能性，软件包的默认配置是否可以缓解漏洞，以及是否存在针对漏洞的已知利用。因此，单独使用 CVSS 来比较和确定漏洞优先级可能会导致风险评估不全面。

适当确定 CVE 优先级

相比之下，Ubuntu Security 团队分配的优先级值旨在捕捉 Ubuntu 中每个软件包的不同个体情况，以便将其作为一种有效手段，结合每个 Ubuntu 实例（包括服务器、桌面、云和物联网）确定安全软件更新的优先级。影响 Ubuntu 安装设备数量最多的漏洞，以及存在最大风险（例如无需任何用户输入即可远程利用等）的漏洞，优先级为关键或高。只影响到少数用户并可能需要用户输入或者可能只造成较小影响（如拒绝服务）的漏洞，优先级可能为中、低或可忽略。这种优先级是根据每个漏洞的具体情况确定的，因为一个特定漏洞可能适用于 Ubuntu 存档中的多个软件包，所以也可以根据每个软件包的漏洞进一步分配优先级。这样可以确保风险和影响等级最高的漏洞以及可能影响到最多 Ubuntu 安装设备的漏洞首先得到修复而无论 CVSS 分数如何，进而确保已知软件漏洞的利用风险尽可能受到限制。欲了解为每个漏洞分配的优先级以及各项优先级分配标准的更多信息，请参阅 Ubuntu CVE Tracker。