通过 CVE 优先级确保开源安全
by tjc713 on 21 November 2023
最近的一项研究显示,企业市场上 96% 的应用程序均使用开源软件。随着开源环境变得越来越分散,评估潜在安全漏洞对组织的影响可能变成一项必须执行的任务。Ubuntu 被誉为最安全的操作系统之一,为什么呢?Ubuntu 是安全领域的领导者,因为 Ubuntu Security 团队每天都在修复并发布针对已知漏洞的更新软件包。事实上,团队平均每天都会提供 3 个以上的更新,而最重要的更新是在 24 小时内准备、测试和发布的。为了取得这样的结果,Canonical 设计了一套稳健的流程来检查、优先排序并首先修复最重要的软件漏洞。软件漏洞作为公共漏洞和暴露 (CVE) 系统的一部分进行追踪检测,Ubuntu Security 团队(通过 Ubuntu Security 通知 — USN)发布的几乎所有安全更新都是针对特定公开的 CVE。
稳健的分类流程
Ubuntu Security 团队管理自己的 CVE 数据库,以对 Ubuntu 存档中的软件包追踪检测各种 CVE。作为该流程的一部分,团队每天都会对来自各种来源(包括 MITRE、NIST NVD 等)的最新公开漏洞进行分类。该分类流程中包括评估每一个新公开宣布的 CVE 并确定 Ubuntu 中哪些软件包(如有)可能受到影响,收集修补软件包所需的任何信息(包括上游补丁),以及注意任何潜在的漏洞缓解措施。一旦对适用软件包完成 CVE 分类,便为其分配优先级,包括可忽略、低、中、高和关键。然后,Ubuntu Security 团队根据该优先级来指示应当首先解决哪些漏洞。
安全性与稳定性
对软件进行任何更改都会带来触发功能回归的风险。虽然 Canonical 尽力测试和验证所做的任何更改,但不可能覆盖每个用户的所有用例,因此存在功能受到影响的固有风险。所以必须始终要在通过修复任何安全问题所获得的价值与带来的潜在回归风险之间进行权衡。这种平衡之举与其说是一门科学,不如说是一门艺术,难以捕捉到其中的明确规则,不过,对于低或中等优先级的漏洞,尤其需要非常仔细地考虑回归风险。诸如代码运行时长、后端代码结构差异、受影响功能范围以及软件包用户基础等因素都要考虑在内。Canonical 力图通过这种方式,为所有 Ubuntu 用户提供最安全、最稳定的平台。
CVE 扩展检查
评估 CVE 严重程度的常用方法是使用通用漏洞评分系统 (CVSS)。这旨在为特定漏洞的严重程度提供一个数值,以便对漏洞进行比较。特定 CVE 的 CVSS 分数要结合许多输入数据进行计算,虽然这样可以考虑到漏洞的各个方面,但无法捕捉到特定漏洞所带来的风险。特别需要注意的是,虽然 CVSS 设计用于评估漏洞在技术上的严重程度,但它经常被误用,而不是作为漏洞优先排序或风险评估的手段。特别是,对于通过 CVSS 未捕捉到的特定漏洞,有许多重要方面需要考虑,包括特定软件包已安装或正在使用中的可能性,软件包的默认配置是否可以缓解漏洞,以及是否存在针对漏洞的已知利用。因此,单独使用 CVSS 来比较和确定漏洞优先级可能会导致风险评估不全面。
适当确定 CVE 优先级
相比之下,Ubuntu Security 团队分配的优先级值旨在捕捉 Ubuntu 中每个软件包的不同个体情况,以便将其作为一种有效手段,结合每个 Ubuntu 实例(包括服务器、桌面、云和物联网)确定安全软件更新的优先级。影响 Ubuntu 安装设备数量最多的漏洞,以及存在最大风险(例如无需任何用户输入即可远程利用等)的漏洞,优先级为关键或高。只影响到少数用户并可能需要用户输入或者可能只造成较小影响(如拒绝服务)的漏洞,优先级可能为中、低或可忽略。这种优先级是根据每个漏洞的具体情况确定的,因为一个特定漏洞可能适用于 Ubuntu 存档中的多个软件包,所以也可以根据每个软件包的漏洞进一步分配优先级。这样可以确保风险和影响等级最高的漏洞以及可能影响到最多 Ubuntu 安装设备的漏洞首先得到修复而无论 CVSS 分数如何,进而确保已知软件漏洞的利用风险尽可能受到限制。欲了解为每个漏洞分配的优先级以及各项优先级分配标准的更多信息,请参阅 Ubuntu CVE Tracker。
订阅博客文章
查看更多内容
使用 Ubuntu Pro 和机密虚拟机加强云网络安全
在当今的数字环境下,各种规模的组织都提高了自身的云使用率。但随之而来的是攻击面明显增加,使安全成为了人们最关心的问题。本文中,我们将深入到激动人心的云网络安全世界,并在 Ubuntu 的帮助下探索更强大的方法来保护您的工作负载。 为什么操作系统的选择对云网络安全很重要? 首先,我们来讨论一下为什么操作系统的选择对安全性很重要。虽然开发商作出巨大的努力确保其应用程序的安全,但他们所提供的安全保证也只是拼图中的一小片。 一旦您的应用程序在生产平台上投入运行,威胁仍有可能来自特权系统软件,包括操作系统、虚拟机管理器和平台的固件。 通过设计,该软件可以访问您应用程序的所有资源,如果应用程序变成恶意的或受到损害,可能会泄露应用程序的所有敏感数据。因此,认识到操作系统的安全性是应用程 […]
为什么您的私有数据中心也需要机密计算?
随着机密计算的采用势头日益强劲,我们经常被问及的一个问题是:为什么我的私有数据中心需要机密计算?尽管机密计算确实常常与解决公共云环境中的安全问题联系在一起,但其价值主张远不止如此。 机密计算威胁模型 要回答这个问题,我们必须首先了解机密计算的潜在威胁模型。在公共云中,机密虚拟机 (CVM) 在主存储器中对工作负载进行加密,为工作负载建立新的信任边界。这样可以防止主机操作系统、管理程序和支持 DMA 的设备访问敏感数据。即使这些组件遭到损坏,机密虚拟机中的数据仍将受到保护。如果不使用机密计算,构成云系统软件的数百万行代码将遭到不受限制的访问。此外,机密虚拟机还可以保护工作负载免遭云计算运营商访问。 您的私有数据中心并非机密的 一些人认为私有数据中心具有固有的优势,如数据治理 […]
优化版 Real-time Ubuntu 现普遍可用于 Intel 系统级芯片
Canonical 推出可用于 Intel Core 处理器的 Real-time Ubuntu,并且支持 TSN 和英特尔 TCC Canonical 宣布优化版 Real-time Ubuntu 可用于 Intel Core 处理器。该解决方案使企业能够在 Intel 硅芯片上利用优化版 Linux 的强大功能,适用于从电信工作负载到救生医疗设备乃至工厂车间自动化系统的各种用例。 Canonical Silicon Alliances 副总裁 Cindy Goldberg 称:“有了适用于最前沿 Intel 硅芯片的优化版 Real-time Ubuntu,可以助力企业处理高难度的工作负载。”“Canonical 与 Intel 强强联合,为开发商和制造商提供安全可靠 […]