redhat發佈了一篇修補程式管理需要一場革命,第 3 部分:漏洞評分和信任概念
在網絡安全領域,漏洞評分是風險為基礎的補丁管理程序的基礎,尤其是來自可信任方的評分。最近,我與一位客戶討論了這個話題,他們說他們實行了零信任原則,好像是在解釋為什麼他們不能信任我們的評分。然而,諷刺的是,他們確實使用了國家漏洞數據庫(NVD)和使用NVD數據的第三方掃描器,這意味著他們隱含地信任了NVD。這不是“零信任”的意思;零信任集中在基礎架構架構中的訪問和授權。不過,如果你準備從頭開始對每個漏洞進行分析,那麼對漏洞評分採用“零信任”的原則才有意義。大多數終端用戶沒有時間或專業知識來做到這一點,所以必須對某些人延伸一定程度的信任。事實上,這在對供應商提供的SBOM(軟件材料清單)數據的要求中已經暗示了。如果我們在這裡也採用這種“零信任”的原則,那麼每個終端用戶都應該創建自己的SBOM。這是一個昂貴且容易出錯的提議,所以供應商應該提供SBOM,這是正確的,因為他們是提供的軟件的權威。這只是一個強制隱含信任軟件供應商的例子。
Red Hat提倡風險為基礎的漏洞管理的概念。對於影響我們軟件的每個漏洞,Red Hat產品安全分析師會考慮報告的漏洞在我們的產品中實際暴露和可能被利用的情況,以便發布我們的評分。風險的常見行業推斷是基於分數,最廣泛使用的是CVSS(通用漏洞評分系統)。這往往導致對同一漏洞的不同分數進行比較,並導致圍繞“他們的分數”(通常由NVD提供)與供應商提供的分數之間的對話。值得注意的是,Red Hat對漏洞的評分不僅僅依賴於CVSS分數,而NVD則不然。分數的準確性很重要,但不反映客觀的行業標準的四點評分量表,例如Red Hat等供應商採用的量表。這在其他論文中進一步討論,包括開放式漏洞管理白皮書。總之,我們的立場是,軟件的編寫者在理解該軟件的預期用途方面具有獨特的優勢,比任何其他人都要好。
詳情請看: