谢谢您的订阅!
当新的内容发布后您将开始接收邮件。您也可以点击邮件内的链接随时取消订阅。关闭Close

通过 CVE 优先级确保开源安全

by Canonical on 21 November 2023

最近的一项研究显示,企业市场上 96% 的应用程序均使用开源软件。随着开源环境变得越来越分散,评估潜在安全漏洞对组织的影响可能变成一项必须执行的任务。Ubuntu 被誉为最安全的操作系统之一,为什么呢?Ubuntu 是安全领域的领导者,因为 Ubuntu Security 团队每天都在修复并发布针对已知漏洞的更新软件包。事实上,团队平均每天都会提供 3 个以上的更新,而最重要的更新是在 24 小时内准备、测试和发布的。为了取得这样的结果,Canonical 设计了一套稳健的流程来检查、优先排序并首先修复最重要的软件漏洞。软件漏洞作为公共漏洞和暴露 (CVE) 系统的一部分进行追踪检测,Ubuntu Security 团队(通过 Ubuntu Security 通知 — USN)发布的几乎所有安全更新都是针对特定公开的 CVE。 

稳健的分类流程

Ubuntu Security 团队管理自己的 CVE 数据库,以对 Ubuntu 存档中的软件包追踪检测各种 CVE。作为该流程的一部分,团队每天都会对来自各种来源(包括 MITRENIST NVD 等)的最新公开漏洞进行分类。该分类流程中包括评估每一个新公开宣布的 CVE 并确定 Ubuntu 中哪些软件包(如有)可能受到影响,收集修补软件包所需的任何信息(包括上游补丁),以及注意任何潜在的漏洞缓解措施。一旦对适用软件包完成 CVE 分类,便为其分配优先级,包括可忽略、低、中、高和关键。然后,Ubuntu Security 团队根据该优先级来指示应当首先解决哪些漏洞。

安全性与稳定性

对软件进行任何更改都会带来触发功能回归的风险。虽然 Canonical 尽力测试和验证所做的任何更改,但不可能覆盖每个用户的所有用例,因此存在功能受到影响的固有风险。所以必须始终要在通过修复任何安全问题所获得的价值与带来的潜在回归风险之间进行权衡。这种平衡之举与其说是一门科学,不如说是一门艺术,难以捕捉到其中的明确规则,不过,对于低或中等优先级的漏洞,尤其需要非常仔细地考虑回归风险。诸如代码运行时长、后端代码结构差异、受影响功能范围以及软件包用户基础等因素都要考虑在内。Canonical 力图通过这种方式,为所有 Ubuntu 用户提供最安全、最稳定的平台。

CVE 扩展检查 

评估 CVE 严重程度的常用方法是使用通用漏洞评分系统 (CVSS)。这旨在为特定漏洞的严重程度提供一个数值,以便对漏洞进行比较。特定 CVE 的 CVSS 分数要结合许多输入数据进行计算,虽然这样可以考虑到漏洞的各个方面,但无法捕捉到特定漏洞所带来的风险。特别需要注意的是,虽然 CVSS 设计用于评估漏洞在技术上的严重程度,但它经常被误用,而不是作为漏洞优先排序或风险评估的手段。特别是,对于通过 CVSS 未捕捉到的特定漏洞,有许多重要方面需要考虑,包括特定软件包已安装或正在使用中的可能性,软件包的默认配置是否可以缓解漏洞,以及是否存在针对漏洞的已知利用。因此,单独使用 CVSS 来比较和确定漏洞优先级可能会导致风险评估不全面。

适当确定 CVE 优先级

相比之下,Ubuntu Security 团队分配的优先级值旨在捕捉 Ubuntu 中每个软件包的不同个体情况,以便将其作为一种有效手段,结合每个 Ubuntu 实例(包括服务器、桌面、云和物联网)确定安全软件更新的优先级。影响 Ubuntu 安装设备数量最多的漏洞,以及存在最大风险(例如无需任何用户输入即可远程利用等)的漏洞,优先级为关键或高。只影响到少数用户并可能需要用户输入或者可能只造成较小影响(如拒绝服务)的漏洞,优先级可能为中、低或可忽略。这种优先级是根据每个漏洞的具体情况确定的,因为一个特定漏洞可能适用于 Ubuntu 存档中的多个软件包,所以也可以根据每个软件包的漏洞进一步分配优先级。这样可以确保风险和影响等级最高的漏洞以及可能影响到最多 Ubuntu 安装设备的漏洞首先得到修复而无论 CVSS 分数如何,进而确保已知软件漏洞的利用风险尽可能受到限制。欲了解为每个漏洞分配的优先级以及各项优先级分配标准的更多信息,请参阅 Ubuntu CVE Tracker

订阅博客文章

订阅您感兴趣的主题

在提交此表格的同时,我确认已阅读和同意的隐私声明隐私政策。

查看更多内容

边缘 AI:结合开源的目的、理由和方式

边缘 AI 正在改变设备与数据中心交互的方式,使组织在跟上最新创新的速度方面面临挑战。从 AI 驱动的医疗器械到自动驾驶汽车,大量的用例都受益于边缘设备上的人工智能。本篇博客将深入探讨该话题,了解开始边缘 AI 项目时的关键考虑因素、边缘 AI 的主要益处、存在的挑战以及如何与开源技术融合。 什么是边缘 AI? 位于边缘的 AI 即边缘 AI,是指人工智能与边缘计算相结合。其目标是在连接的边缘设备上执行机器学习模型。它能够使设备做出更明智的决策,无需总是连接到云来处理数据。其之所以被称为边缘,是因为机器学习模型在用户附近运行,而非数据中心。 随着行业发现新的用例和机会来优化工作流程、实现业务流程自动化或解锁新的创新机遇,边缘 AI 越来越受欢迎。自动驾驶汽车、可穿戴设备、 […]

安全数据存储对于推动 AI 人工智能的关键性

没有数据就没有 AI 人工智能是近年来最激动人心的一场科技革命。Nvidia、Intel、AMD 和其他公司继续生产速度越来越快的 GPU,进而支持更大的模型和决策过程中更高的吞吐量。 除了当下对人工智能的大量宣传之外,还有一点仍被人们所忽略:AI 需要数据。 首先,存储系统需要对不断增长的数据集的高性能进行访问,但更重要的是,它们需要确保这些数据得到安全存储,以供当下以及未来之用。在典型的 AI 系统中,用到了多种不同类型的数据: 所有这些数据的收集、处理和输出都要耗费时间和计算能力,因此需要对数据进行保护。在某些情况下,诸如自动驾驶汽车的遥测数据之类的数据可能永远无法复制。即使在训练数据被用于创建模型之后,其价值也不会削减;模型如要实现改进,就需要使用一致的训练数据集 […]

Canonical 发布 Ubuntu Pro 设备版 – Ubuntu Pro for Devices

面向物联网部署的新订阅版本保障最先进开源堆栈的安全性及长期合规性  Ubuntu 发行商 Canonical 宣布推出 Ubuntu Pro 设备版 – Ubuntu Pro for Devices,此款综合性产品有助于简化物联网设备部署的安全性和合规性工作。Ubuntu Pro 设备版提供长达 10 年的 Ubuntu 安全维护,并且提供数千个开源包,如 Python、Docker、OpenJDK、OpenCV、MQTT、OpenSSL、Go 和机器人操作系统(ROS)。该订阅版还提供使用 Canonical 系统管理工具 Landscape 进行设备管理的功能,以及在延迟关键型用例中访问 Real-time Ubuntu 的功能。Ubuntu Pro 设备版可直接从 […]