谢谢您的订阅!
当新的内容发布后您将开始接收邮件。您也可以点击邮件内的链接随时取消订阅。关闭Close

通过 CVE 优先级确保开源安全

by Canonical on 21 November 2023

最近的一项研究显示,企业市场上 96% 的应用程序均使用开源软件。随着开源环境变得越来越分散,评估潜在安全漏洞对组织的影响可能变成一项必须执行的任务。Ubuntu 被誉为最安全的操作系统之一,为什么呢?Ubuntu 是安全领域的领导者,因为 Ubuntu Security 团队每天都在修复并发布针对已知漏洞的更新软件包。事实上,团队平均每天都会提供 3 个以上的更新,而最重要的更新是在 24 小时内准备、测试和发布的。为了取得这样的结果,Canonical 设计了一套稳健的流程来检查、优先排序并首先修复最重要的软件漏洞。软件漏洞作为公共漏洞和暴露 (CVE) 系统的一部分进行追踪检测,Ubuntu Security 团队(通过 Ubuntu Security 通知 — USN)发布的几乎所有安全更新都是针对特定公开的 CVE。 

稳健的分类流程

Ubuntu Security 团队管理自己的 CVE 数据库,以对 Ubuntu 存档中的软件包追踪检测各种 CVE。作为该流程的一部分,团队每天都会对来自各种来源(包括 MITRENIST NVD 等)的最新公开漏洞进行分类。该分类流程中包括评估每一个新公开宣布的 CVE 并确定 Ubuntu 中哪些软件包(如有)可能受到影响,收集修补软件包所需的任何信息(包括上游补丁),以及注意任何潜在的漏洞缓解措施。一旦对适用软件包完成 CVE 分类,便为其分配优先级,包括可忽略、低、中、高和关键。然后,Ubuntu Security 团队根据该优先级来指示应当首先解决哪些漏洞。

安全性与稳定性

对软件进行任何更改都会带来触发功能回归的风险。虽然 Canonical 尽力测试和验证所做的任何更改,但不可能覆盖每个用户的所有用例,因此存在功能受到影响的固有风险。所以必须始终要在通过修复任何安全问题所获得的价值与带来的潜在回归风险之间进行权衡。这种平衡之举与其说是一门科学,不如说是一门艺术,难以捕捉到其中的明确规则,不过,对于低或中等优先级的漏洞,尤其需要非常仔细地考虑回归风险。诸如代码运行时长、后端代码结构差异、受影响功能范围以及软件包用户基础等因素都要考虑在内。Canonical 力图通过这种方式,为所有 Ubuntu 用户提供最安全、最稳定的平台。

CVE 扩展检查 

评估 CVE 严重程度的常用方法是使用通用漏洞评分系统 (CVSS)。这旨在为特定漏洞的严重程度提供一个数值,以便对漏洞进行比较。特定 CVE 的 CVSS 分数要结合许多输入数据进行计算,虽然这样可以考虑到漏洞的各个方面,但无法捕捉到特定漏洞所带来的风险。特别需要注意的是,虽然 CVSS 设计用于评估漏洞在技术上的严重程度,但它经常被误用,而不是作为漏洞优先排序或风险评估的手段。特别是,对于通过 CVSS 未捕捉到的特定漏洞,有许多重要方面需要考虑,包括特定软件包已安装或正在使用中的可能性,软件包的默认配置是否可以缓解漏洞,以及是否存在针对漏洞的已知利用。因此,单独使用 CVSS 来比较和确定漏洞优先级可能会导致风险评估不全面。

适当确定 CVE 优先级

相比之下,Ubuntu Security 团队分配的优先级值旨在捕捉 Ubuntu 中每个软件包的不同个体情况,以便将其作为一种有效手段,结合每个 Ubuntu 实例(包括服务器、桌面、云和物联网)确定安全软件更新的优先级。影响 Ubuntu 安装设备数量最多的漏洞,以及存在最大风险(例如无需任何用户输入即可远程利用等)的漏洞,优先级为关键或高。只影响到少数用户并可能需要用户输入或者可能只造成较小影响(如拒绝服务)的漏洞,优先级可能为中、低或可忽略。这种优先级是根据每个漏洞的具体情况确定的,因为一个特定漏洞可能适用于 Ubuntu 存档中的多个软件包,所以也可以根据每个软件包的漏洞进一步分配优先级。这样可以确保风险和影响等级最高的漏洞以及可能影响到最多 Ubuntu 安装设备的漏洞首先得到修复而无论 CVSS 分数如何,进而确保已知软件漏洞的利用风险尽可能受到限制。欲了解为每个漏洞分配的优先级以及各项优先级分配标准的更多信息,请参阅 Ubuntu CVE Tracker

订阅博客文章

订阅您感兴趣的主题

在提交此表格的同时,我确认已阅读和同意的隐私声明隐私政策。

查看更多内容

什么是「应用安全」 — Application Security “AppSec” ?

网络安全领域已然迎来重大变革。如今,网络攻击、恶意软件和勒索软件等风险日益蔓延,加之新出台的网络安全法规以及针对数据泄露和数据外泄的高额罚款所带来的压力与日俱增,强化应用安全(AppSec)已毫无妥协可言。 在本文中,我们将探讨如何直面这些挑战,通过聚焦安全态势中最基本的要素,确保业务和系统安全。笔者将介绍应用安全(AppSec)的概念及其益处,探讨企业应如何设计和实现应用安全,并分享我们团队的一些实用建议和最佳实践,帮助您筑牢安全防线。 什么是 AppSec ? 应用安全(简称 AppSec)是一个广义概念,涵盖了企业组织为保护其应用程序在整个生命周期内免遭各种安全漏洞而采用的所有工具、举措与流程。应用安全的目标只有一个,就是找出应用程序和系统中可能会被恶意攻击者利用, […]

NIS2 合规指南:第 2 部 — 了解 NIS2 合规要求

在上一篇博客文章中,笔者详细介绍了 NIS2 及其适用对象。本系列的第二篇文章中将详细介绍 NIS2 中的主要要求,并将这些要求具体转化为切实可行的行动措施,助力企业组织满足 NIS2 合规要求。欢迎阅读本文,一同深入了解 NIS2 的内容。 NIS2 适用于您。那么,您需要做些什么来满足 NIS2 合规要求? 如果您正在阅读本文,想必已经意识到 EU NIS2 适用于您所在的公司。接下来,让我们深入探究其中的具体要求,以及为实现合规性需要采取的行动。 该指令规定,相关实体必须落实网络安全风险管理措施,且这些措施必须“适当适度”。尽管这一要求看似宽泛,存在一定的解释空间,但指令中明确规定了一系列必须落实的最低限度的网络安全风险管理措施。 下面将细入探讨这些措施,并将其转化 […]

Canonical 获得 ISO/SAE 21434 认证,强化了汽车网络安全标准

经过认证的网络安全流程有助于保护下一代互联汽车 Canonical 自豪地宣布,其安全管理系统经过全球知名认证提供商 TÜV SÜD 的广泛评估,已获得 ISO/SAE 21434 认证。这一里程碑突出了 Canonical 在为汽车行业提供可信可靠的开源解决方案方面的领导地位。它强调了 Canonical 对三大关键业务支柱的承诺:强大的网络安全、符合全球行业标准以及为自动驾驶和智能汽车构建更安全的未来。 强大的汽车网络安全 随着车辆的互联程度越来越高,未经授权的访问、远程攻击和数据泄露的风险也显著增加。ISO/SAE 21434 为在整个车辆生命周期内管理这些风险提供了详细的框架。对于原始设备制造商和一级供应商来说,合规是在竞争激烈的市场中交付产品的关键。 Canon […]