新聞中心

EEPW首頁 > 嵌入式系統(tǒng) > 設計應用 > CVE掃描10項必備功能

CVE掃描10項必備功能

作者:Seth Cramer,風河公司 時間:2022-10-10 來源:電子產(chǎn)品世界 收藏

應該感謝蓬勃發(fā)展的開源社區(qū)為我們貢獻了空前的項目和解決方案,而且是以開源代碼的方式提供給我們。這給開發(fā)人員帶來的好處是,可以獲得非常有用的開源解決方案,但不利的一方面是,代碼質量差異非常大。

本文引用地址:http://butianyuan.cn/article/202210/438908.htm

 

所幸我們有Common Vulnerabilities & ExposuresCVE,通用漏洞披露)數(shù)據(jù)庫,其中報告并追蹤著成千上萬的軟件漏洞。隨著軟件數(shù)量的不斷增加,CVE數(shù)據(jù)庫中記錄的漏洞也在不斷增加。事實上,2021年度CVE報告提交的漏洞數(shù)量是歷史上最多的,超過了20000個。

 

如果不掃描檢查,嵌入式開發(fā)人員很可能就會在其軟件產(chǎn)品中混入了包含嚴重安全漏洞的代碼,并且完全不知道這些漏洞的存在,由此導致的安全風險巨大?!?/span>Forrester應用軟件安全現(xiàn)狀報告(2021)》中指出:近三分之一的安全漏洞是由軟件漏洞引起。

 

嵌入式軟件開發(fā)團隊需要專門的策略和戰(zhàn)術,以便消除其解決方案中日益增長的安全漏洞風險。數(shù)十年來,為消除安全漏洞對嵌入式系統(tǒng)的影響,持續(xù)提供軟件解決方案和專業(yè)服務,并積累了豐富的專業(yè)知識,從而成為嵌入式開發(fā)人員的堅強后盾。

 

基于多年來所積累的資源,我們?yōu)檫M行CVE掃描并解決安全漏洞提供了10項必備功能。

 

1. 漏洞生命管理周期

 

開發(fā)團隊讓產(chǎn)品不斷推陳出新,軟件代碼也被一次又一次地修改。功能在更新、添加和重構,軟件包、第三方代碼也不斷發(fā)生著各種變化。面對這樣的情況,漏洞掃描工作永遠都不可能一勞永逸。

1665389936293716.png

 

漏洞生命周期管理——Gartner

 

開發(fā)團隊應該將漏洞檢測工作以完整生命周期的方式進行管理,其中包括持續(xù)評估、優(yōu)先級排序、掃描和檢測等環(huán)節(jié)。同時,也應該形成一套擴大已知漏洞庫的方法,以便使檢測能力隨著時間的推移而不斷提升。最終結果應該是,采用漏洞管理生命周期方法實現(xiàn)顯著降低平臺與應用代碼風險,化解潛在安全漏洞風險。

 

2.精確性

 

如今CVE數(shù)據(jù)庫的增長速度比以往任何時候都快,已知漏洞數(shù)量不斷創(chuàng)下歷史新高。更不幸的是,并沒有跡象表明這一趨勢有任何放緩。漏洞威脅日趨嚴峻,威脅行為數(shù)量眾多,安全性攻擊的危害程度令人擔憂。

 

然而,許多已知CVE對于嵌入式開發(fā)人員來說是不相關的。有效漏洞管理的一個關鍵成功因素是通過裁減市面已知的CVE列表來構建會顯著影響嵌入式開發(fā)團隊的CVE數(shù)據(jù)庫。

 

2. 精準分類CVE來源

 

面向嵌入式開發(fā),針對眾多來源的CVE,公司建立了精準分類的數(shù)據(jù)庫。在整個漏洞管理生命周期內,軟件開發(fā)團隊都可以利用這個CVE數(shù)據(jù)庫來確保漏洞掃描的精確性和有效性。這不僅節(jié)省了漏洞分析所需的時間和資源,而且也讓開發(fā)人員可以獲得風河公司在解決安全漏洞方面積累的經(jīng)驗。

 

3.保持及時更新

 

漏洞掃描的水平依賴于CVE資源,因此保持漏洞數(shù)據(jù)庫及時更新,對于解決好安全風險問題至關重要。新的漏洞每天都會產(chǎn)生,而收集匯總的機構各不相同,包括美國國家漏洞數(shù)據(jù)庫、Mitre以及其他資源庫。因此,匯總眾多資源以保持CVE數(shù)據(jù)庫處于最新狀態(tài),這并非易事。

 

Wind River CVE數(shù)據(jù)庫專門為嵌入式開發(fā)團隊而精心編制,為保持CVE處于最新狀態(tài)提供了關鍵性的支持。憑借這些資源,您可以確信——最新出現(xiàn)的漏洞也不會成為漏網(wǎng)之魚。

 

4.漏洞識別自動化

 

風河公司推薦采用自動化方法來檢測漏洞。這項工作的前提是創(chuàng)建軟件物料清單(Software Bill-of-Materials, SBOM),包含Linux OS平臺以及應用軟件中用到的每個軟件包。我們的解決方案可以協(xié)助創(chuàng)建這個組件細目,以便您始終擁有所用軟件包清單。

 

SBOM采用軟件包數(shù)據(jù)交換(Software Package Data eXchange,SPDX)格式,不僅包括描述符信息,還包括版本、名稱、許可證、提供商以及與軟件包相關的其他元數(shù)據(jù)。通過這些信息,開發(fā)人員可以創(chuàng)建包含其Linux操作系統(tǒng)和應用軟件的詳細軟件清單,由此成為隨后為所用軟件量身定制智能漏洞掃描的基礎。

 

5. 分類效率

對于許多剛剛開始漏洞評估流程的團隊來說,最初的掃描很可能會是令人崩潰的——在較大規(guī)模的代碼庫中有時會發(fā)現(xiàn)數(shù)百甚至數(shù)千個漏洞。

 

首先遭遇的挑戰(zhàn)就是你根本不知道從哪里著手。通用漏洞評分系統(tǒng)(Common Vulnerabilities Scoring System)為跟蹤的每個CVE提供嚴重程度評分。風河漏洞掃描器可以根據(jù)這個評分結果提供對代碼影響最大的CVE優(yōu)先列表。有了CVSS評分,開發(fā)人員就可以專注于解決方案中風險最大的漏洞。





image.png



CVE依照嚴重性予以分級

 

如前所述,反復的評估工作對于確保已知風險不會再次引入軟件代碼至關重要。將過舊的軟件包、軟件組件鏈接或編譯到應用中,這是十分常見的情況。風河公司的漏洞掃描功能可以保存高優(yōu)先級CVE列表,以確保對其進行持續(xù)評估,這對于有效評估Linux平臺和應用軟件相關的風險至關重要。

 

6.自動識別許可證和合規(guī)性

 

并非所有風險都以軟件漏洞的形式出現(xiàn)。當今軟件中大約有80%包含開源和第三方軟件組件,安全風險不容忽視。而這些開源軟件包還包括許可證限制和使用指南。如果不遵守這些限制和指南,可能會受到嚴重的處罰。

 

IP和許可證掃描如果不是自動進行,就會非常耗時。所幸的是,通過標準化SPDX等格式來描述軟件包,并維護嚴格的SBOM,開發(fā)人員可以實現(xiàn)許可證和合規(guī)性的自動掃描。

 

7. DevOps集成

 

請您想象這樣一個場景:在傳統(tǒng)的瀑布式開發(fā)模型中,開發(fā)團隊完成其平臺或應用軟件方面的工作,然后將成果交給發(fā)布團隊,在此之前要執(zhí)行一些驗證工作,包括漏洞掃描。如果此時發(fā)現(xiàn)軟件棧中使用的開源軟件包存在基本安全風險,他們別無選擇,只能將全部軟件返工給開發(fā)團隊去消除漏洞,這必然會導致項目進度落后于計劃。

 

這種情況并不罕見,而且用這種方法解決安全漏洞問題,其代價十分昂貴!這就讓我們想到,DevOps以及“Shifting Left(左移)所帶來的好處,例如借助于自動化技術提前進行漏洞掃描,在開發(fā)周期中的更早階段及時察覺風險,從而以更加簡便的方式在更低成本的階段防患于未然。

 

image.png

CVE掃描是Wind River Studio中的流水線單元(Pipeline Element

 

在構建過程的早期就可以進行漏洞與CVE自動掃描,從而使開發(fā)人員在開發(fā)周期中的較早環(huán)節(jié)消除已知的安全風險。這反過來又為產(chǎn)品生命周期帶來了不少好處,包括更高的安全水平和更靈活的模型,以便解決已發(fā)現(xiàn)的安全問題。

 

8.         儀表板和健康監(jiān)視器

 

我們正在進入集成化的時代,應用軟件越來越互聯(lián)網(wǎng)化,我們正在從孤立信息和離線內容轉向健康狀態(tài)和安全監(jiān)控的一體化視圖。雖然搜索引擎和各種漏洞數(shù)據(jù)庫很有用,但開發(fā)團隊和工程項目領導者需要對其平臺和應用系統(tǒng)進行整合與簡化,而不是從不同來源尋找和拼湊各種信息。





image.png


CVE掃描儀表板


 

儀表板是查看此類整合視圖的重要方式。良好、有益的儀表板應該提供系統(tǒng)狀態(tài)的高級視圖,讓人一目了然,同時在必要時支持向下挖掘(Drill-Down)和詳細報告。儀表板顯示的內容也應該可以自動更新以確保不會過時。

9. 報告功能

 

軟件和硬件供應鏈中的風險日益增多,已經(jīng)成為企業(yè)關注的焦點。許多終端用戶要求供應商的安全驗證方法具備透明度和報告功能,甚至還可能要求供應商提供有關安全保障的其他信息。這些要求在漏洞評估方面體現(xiàn)得尤為明顯??蛻羝谕提槍σ阎┒磳ζ湎到y(tǒng)組件進行驗證,因為他們同樣也需要證明自己所提供的設備是足夠安全的。

 

提供安全報告是一項耗時的工作,但其中許多內容可以通過CVE掃描自動化和整合數(shù)據(jù)聚合來生成。開發(fā)團隊會發(fā)現(xiàn),很有必要對CVE檢測自動化做出適當投資,來呈現(xiàn)CVE的檢測和解決時間。他們也可能需要呈現(xiàn)已發(fā)現(xiàn)CVE的嚴重程度,這對于系統(tǒng)中的關鍵組件尤為如此。

 

10. 信息安全和隱私保護

 

CVE掃描功能雖然能帶來了不少好處,但也會帶來信息安全風險。在Linux平臺或應用系統(tǒng)中,任何包含已知漏洞信息的工具和尚未修補的CVE都可能成為軟件堆棧中的弱點,被攻擊者當作突破口。您使用的任何CVE掃描工具都應該是安全的,并且來自可信的供應商。

在評估CVE掃描的安全解決方案時,需要謹記三個特征:

1 訪問控制:具備嚴格的訪問控制機制,以防止未經(jīng)授權訪問敏感信息。

2 Manifest保護:能夠保護正在掃描CVE的資產(chǎn)——通常是源代碼和軟件包。這些Manifest必須得到保護,以確保SBOM和其他有關Linux平臺或應用組件的敏感信息不會落入壞人手中。

3 客戶隱私保護:掃描工具不應損害供應商和客戶之間的關系。這種關系應該通過各種機制保護起來,例如加密、訪問控制或其他各種手段的結合應用。

 

風河是您的安全伙伴

 

CVE掃描自動化技術應該作為開發(fā)團隊發(fā)現(xiàn)漏洞的一種有效手段。其中,最大的困難不是發(fā)現(xiàn)漏洞,而是修復漏洞——知道哪些補丁適用于哪些版本,善于選擇升級路徑和安全技術,從而有效地解決漏洞。

 

Wind River Studio Linux Services團隊長期服務于眾多的工程項目,為客戶提供安全最佳實踐指導,同時為您的Linux平臺、應用軟件和系統(tǒng)帶來專業(yè)知識和經(jīng)驗。此外,針對Yocto LinuxWind River Linux,風河公司都長期維護補丁包,可以確保您的操作系統(tǒng)始終處于最新版本,而補丁包則可以隨時修補已知的漏洞。

 

無論您的企業(yè)處于漏洞管理旅程的哪個階段,Wind River Studio Linux Services都可以提供幫助。您可以通過風河公司專門為嵌入式系統(tǒng)設計而精心維護的CVE數(shù)據(jù)庫來識別CVE,也可以通過與Studio Linux Service團隊合作來解決您產(chǎn)品中棘手的安全風險。

 

總之,風河始終都是您的安全伙伴。




關鍵詞: CVE掃描 風河

評論


相關推薦

技術專區(qū)

關閉