CVE掃描10項必備功能

應該感謝蓬勃發(fā)展的開(kāi)源社區為我們貢獻了空前的項目和解決方案，而且是以開(kāi)源代碼的方式提供給我們。這給開(kāi)發(fā)人員帶來(lái)的好處是，可以獲得非常有用的開(kāi)源解決方案，但不利的一方面是，代碼質(zhì)量差異非常大。

所幸我們有Common Vulnerabilities & Exposures（CVE，通用漏洞披露）數據庫，其中報告并追蹤著(zhù)成千上萬(wàn)的軟件漏洞。隨著(zhù)軟件數量的不斷增加，CVE數據庫中記錄的漏洞也在不斷增加。事實(shí)上，2021年度CVE報告提交的漏洞數量是歷史上最多的，超過(guò)了20000個(gè)。

如果不掃描檢查，嵌入式開(kāi)發(fā)人員很可能就會(huì )在其軟件產(chǎn)品中混入了包含嚴重安全漏洞的代碼，并且完全不知道這些漏洞的存在，由此導致的安全風(fēng)險巨大?！?/span>Forrester應用軟件安全現狀報告（2021）》中指出：近三分之一的安全漏洞是由軟件漏洞引起。

嵌入式軟件開(kāi)發(fā)團隊需要專(zhuān)門(mén)的策略和戰術(shù)，以便消除其解決方案中日益增長(cháng)的安全漏洞風(fēng)險。數十年來(lái)，為消除安全漏洞對嵌入式系統的影響，風(fēng)河持續提供軟件解決方案和專(zhuān)業(yè)服務(wù)，并積累了豐富的專(zhuān)業(yè)知識，從而成為嵌入式開(kāi)發(fā)人員的堅強后盾。

基于風(fēng)河多年來(lái)所積累的資源，我們?yōu)檫M(jìn)行CVE掃描并解決安全漏洞提供了10項必備功能。

1. 漏洞生命管理周期

開(kāi)發(fā)團隊讓產(chǎn)品不斷推陳出新，軟件代碼也被一次又一次地修改。功能在更新、添加和重構，軟件包、第三方代碼也不斷發(fā)生著(zhù)各種變化。面對這樣的情況，漏洞掃描工作永遠都不可能一勞永逸。

漏洞生命周期管理——Gartner

開(kāi)發(fā)團隊應該將漏洞檢測工作以完整生命周期的方式進(jìn)行管理，其中包括持續評估、優(yōu)先級排序、掃描和檢測等環(huán)節。同時(shí)，也應該形成一套擴大已知漏洞庫的方法，以便使檢測能力隨著(zhù)時(shí)間的推移而不斷提升。最終結果應該是，采用漏洞管理生命周期方法實(shí)現顯著(zhù)降低平臺與應用代碼風(fēng)險，化解潛在安全漏洞風(fēng)險。

2.精確性

如今CVE數據庫的增長(cháng)速度比以往任何時(shí)候都快，已知漏洞數量不斷創(chuàng )下歷史新高。更不幸的是，并沒(méi)有跡象表明這一趨勢有任何放緩。漏洞威脅日趨嚴峻，威脅行為數量眾多，安全性攻擊的危害程度令人擔憂(yōu)。

然而，許多已知CVE對于嵌入式開(kāi)發(fā)人員來(lái)說(shuō)是不相關(guān)的。有效漏洞管理的一個(gè)關(guān)鍵成功因素是通過(guò)裁減市面已知的CVE列表來(lái)構建會(huì )顯著(zhù)影響嵌入式開(kāi)發(fā)團隊的CVE數據庫。

2. 精準分類(lèi)CVE來(lái)源

面向嵌入式開(kāi)發(fā)，針對眾多來(lái)源的CVE，風(fēng)河公司建立了精準分類(lèi)的數據庫。在整個(gè)漏洞管理生命周期內，軟件開(kāi)發(fā)團隊都可以利用這個(gè)CVE數據庫來(lái)確保漏洞掃描的精確性和有效性。這不僅節省了漏洞分析所需的時(shí)間和資源，而且也讓開(kāi)發(fā)人員可以獲得風(fēng)河公司在解決安全漏洞方面積累的經(jīng)驗。

3.保持及時(shí)更新

漏洞掃描的水平依賴(lài)于CVE資源，因此保持漏洞數據庫及時(shí)更新，對于解決好安全風(fēng)險問(wèn)題至關(guān)重要。新的漏洞每天都會(huì )產(chǎn)生，而收集匯總的機構各不相同，包括美國國家漏洞數據庫、Mitre以及其他資源庫。因此，匯總眾多資源以保持CVE數據庫處于最新?tīng)顟B(tài)，這并非易事。

Wind River CVE數據庫專(zhuān)門(mén)為嵌入式開(kāi)發(fā)團隊而精心編制，為保持CVE處于最新?tīng)顟B(tài)提供了關(guān)鍵性的支持。憑借這些資源，您可以確信——最新出現的漏洞也不會(huì )成為漏網(wǎng)之魚(yú)。

4.漏洞識別自動(dòng)化

風(fēng)河公司推薦采用自動(dòng)化方法來(lái)檢測漏洞。這項工作的前提是創(chuàng )建軟件物料清單（Software Bill-of-Materials, SBOM），包含Linux OS平臺以及應用軟件中用到的每個(gè)軟件包。我們的解決方案可以協(xié)助創(chuàng )建這個(gè)組件細目，以便您始終擁有所用軟件包清單。

SBOM采用軟件包數據交換（Software Package Data eXchange，SPDX）格式，不僅包括描述符信息，還包括版本、名稱(chēng)、許可證、提供商以及與軟件包相關(guān)的其他元數據。通過(guò)這些信息，開(kāi)發(fā)人員可以創(chuàng )建包含其Linux操作系統和應用軟件的詳細軟件清單，由此成為隨后為所用軟件量身定制智能漏洞掃描的基礎。

5. 分類(lèi)效率

對于許多剛剛開(kāi)始漏洞評估流程的團隊來(lái)說(shuō)，最初的掃描很可能會(huì )是令人崩潰的——在較大規模的代碼庫中有時(shí)會(huì )發(fā)現數百甚至數千個(gè)漏洞。

首先遭遇的挑戰就是你根本不知道從哪里著(zhù)手。通用漏洞評分系統（Common Vulnerabilities Scoring System）為跟蹤的每個(gè)CVE提供嚴重程度評分。風(fēng)河漏洞掃描器可以根據這個(gè)評分結果提供對代碼影響最大的CVE優(yōu)先列表。有了CVSS評分，開(kāi)發(fā)人員就可以專(zhuān)注于解決方案中風(fēng)險最大的漏洞。

CVE依照嚴重性予以分級

如前所述，反復的評估工作對于確保已知風(fēng)險不會(huì )再次引入軟件代碼至關(guān)重要。將過(guò)舊的軟件包、軟件組件鏈接或編譯到應用中，這是十分常見(jiàn)的情況。風(fēng)河公司的漏洞掃描功能可以保存高優(yōu)先級CVE列表，以確保對其進(jìn)行持續評估，這對于有效評估Linux平臺和應用軟件相關(guān)的風(fēng)險至關(guān)重要。

6.自動(dòng)識別許可證和合規性

并非所有風(fēng)險都以軟件漏洞的形式出現。當今軟件中大約有80%包含開(kāi)源和第三方軟件組件，安全風(fēng)險不容忽視。而這些開(kāi)源軟件包還包括許可證限制和使用指南。如果不遵守這些限制和指南，可能會(huì )受到嚴重的處罰。

IP和許可證掃描如果不是自動(dòng)進(jìn)行，就會(huì )非常耗時(shí)。所幸的是，通過(guò)標準化SPDX等格式來(lái)描述軟件包，并維護嚴格的SBOM，開(kāi)發(fā)人員可以實(shí)現許可證和合規性的自動(dòng)掃描。

7. DevOps集成

請您想象這樣一個(gè)場(chǎng)景：在傳統的瀑布式開(kāi)發(fā)模型中，開(kāi)發(fā)團隊完成其平臺或應用軟件方面的工作，然后將成果交給發(fā)布團隊，在此之前要執行一些驗證工作，包括漏洞掃描。如果此時(shí)發(fā)現軟件棧中使用的開(kāi)源軟件包存在基本安全風(fēng)險，他們別無(wú)選擇，只能將全部軟件返工給開(kāi)發(fā)團隊去消除漏洞，這必然會(huì )導致項目進(jìn)度落后于計劃。

這種情況并不罕見(jiàn)，而且用這種方法解決安全漏洞問(wèn)題，其代價(jià)十分昂貴！這就讓我們想到，DevOps以及“Shifting Left（左移）”所帶來(lái)的好處，例如借助于自動(dòng)化技術(shù)提前進(jìn)行漏洞掃描，在開(kāi)發(fā)周期中的更早階段及時(shí)察覺(jué)風(fēng)險，從而以更加簡(jiǎn)便的方式在更低成本的階段防患于未然。

CVE掃描是Wind River Studio中的流水線(xiàn)單元（Pipeline Element）

在構建過(guò)程的早期就可以進(jìn)行漏洞與CVE自動(dòng)掃描，從而使開(kāi)發(fā)人員在開(kāi)發(fā)周期中的較早環(huán)節消除已知的安全風(fēng)險。這反過(guò)來(lái)又為產(chǎn)品生命周期帶來(lái)了不少好處，包括更高的安全水平和更靈活的模型，以便解決已發(fā)現的安全問(wèn)題。

8.         儀表板和健康監視器

我們正在進(jìn)入集成化的時(shí)代，應用軟件越來(lái)越互聯(lián)網(wǎng)化，我們正在從孤立信息和離線(xiàn)內容轉向健康狀態(tài)和安全監控的一體化視圖。雖然搜索引擎和各種漏洞數據庫很有用，但開(kāi)發(fā)團隊和工程項目領(lǐng)導者需要對其平臺和應用系統進(jìn)行整合與簡(jiǎn)化，而不是從不同來(lái)源尋找和拼湊各種信息。

CVE掃描儀表板

儀表板是查看此類(lèi)整合視圖的重要方式。良好、有益的儀表板應該提供系統狀態(tài)的高級視圖，讓人一目了然，同時(shí)在必要時(shí)支持向下挖掘（Drill-Down）和詳細報告。儀表板顯示的內容也應該可以自動(dòng)更新以確保不會(huì )過(guò)時(shí)。

9. 報告功能

軟件和硬件供應鏈中的風(fēng)險日益增多，已經(jīng)成為企業(yè)關(guān)注的焦點(diǎn)。許多終端用戶(hù)要求供應商的安全驗證方法具備透明度和報告功能，甚至還可能要求供應商提供有關(guān)安全保障的其他信息。這些要求在漏洞評估方面體現得尤為明顯?？蛻?hù)期望供應商針對已知漏洞對其系統組件進(jìn)行驗證，因為他們同樣也需要證明自己所提供的設備是足夠安全的。

提供安全報告是一項耗時(shí)的工作，但其中許多內容可以通過(guò)CVE掃描自動(dòng)化和整合數據聚合來(lái)生成。開(kāi)發(fā)團隊會(huì )發(fā)現，很有必要對CVE檢測自動(dòng)化做出適當投資，來(lái)呈現CVE的檢測和解決時(shí)間。他們也可能需要呈現已發(fā)現CVE的嚴重程度，這對于系統中的關(guān)鍵組件尤為如此。

10. 信息安全和隱私保護

CVE掃描功能雖然能帶來(lái)了不少好處，但也會(huì )帶來(lái)信息安全風(fēng)險。在Linux平臺或應用系統中，任何包含已知漏洞信息的工具和尚未修補的CVE都可能成為軟件堆棧中的弱點(diǎn)，被攻擊者當作突破口。您使用的任何CVE掃描工具都應該是安全的，并且來(lái)自可信的供應商。

在評估CVE掃描的安全解決方案時(shí)，需要謹記三個(gè)特征：

1） 訪(fǎng)問(wèn)控制：具備嚴格的訪(fǎng)問(wèn)控制機制，以防止未經(jīng)授權訪(fǎng)問(wèn)敏感信息。

2） Manifest保護：能夠保護正在掃描CVE的資產(chǎn)——通常是源代碼和軟件包。這些Manifest必須得到保護，以確保SBOM和其他有關(guān)Linux平臺或應用組件的敏感信息不會(huì )落入壞人手中。

3） 客戶(hù)隱私保護：掃描工具不應損害供應商和客戶(hù)之間的關(guān)系。這種關(guān)系應該通過(guò)各種機制保護起來(lái)，例如加密、訪(fǎng)問(wèn)控制或其他各種手段的結合應用。

風(fēng)河是您的安全伙伴

CVE掃描自動(dòng)化技術(shù)應該作為開(kāi)發(fā)團隊發(fā)現漏洞的一種有效手段。其中，最大的困難不是發(fā)現漏洞，而是修復漏洞——知道哪些補丁適用于哪些版本，善于選擇升級路徑和安全技術(shù)，從而有效地解決漏洞。

Wind River Studio Linux Services團隊長(cháng)期服務(wù)于眾多的工程項目，為客戶(hù)提供安全最佳實(shí)踐指導，同時(shí)為您的Linux平臺、應用軟件和系統帶來(lái)專(zhuān)業(yè)知識和經(jīng)驗。此外，針對Yocto Linux和Wind River Linux，風(fēng)河公司都長(cháng)期維護補丁包，可以確保您的操作系統始終處于最新版本，而補丁包則可以隨時(shí)修補已知的漏洞。

無(wú)論您的企業(yè)處于漏洞管理旅程的哪個(gè)階段，Wind River Studio Linux Services都可以提供幫助。您可以通過(guò)風(fēng)河公司專(zhuān)門(mén)為嵌入式系統設計而精心維護的CVE數據庫來(lái)識別CVE，也可以通過(guò)與Studio Linux Service團隊合作來(lái)解決您產(chǎn)品中棘手的安全風(fēng)險。

總之，風(fēng)河始終都是您的安全伙伴。