CVE掃描10項(xiàng)必備功能

應(yīng)該感謝蓬勃發(fā)展的開源社區(qū)為我們貢獻(xiàn)了空前的項(xiàng)目和解決方案，而且是以開源代碼的方式提供給我們。這給開發(fā)人員帶來的好處是，可以獲得非常有用的開源解決方案，但不利的一方面是，代碼質(zhì)量差異非常大。

所幸我們有Common Vulnerabilities & Exposures（CVE，通用漏洞披露）數(shù)據(jù)庫，其中報(bào)告并追蹤著成千上萬的軟件漏洞。隨著軟件數(shù)量的不斷增加，CVE數(shù)據(jù)庫中記錄的漏洞也在不斷增加。事實(shí)上，2021年度CVE報(bào)告提交的漏洞數(shù)量是歷史上最多的，超過了20000個(gè)。

如果不掃描檢查，嵌入式開發(fā)人員很可能就會(huì)在其軟件產(chǎn)品中混入了包含嚴(yán)重安全漏洞的代碼，并且完全不知道這些漏洞的存在，由此導(dǎo)致的安全風(fēng)險(xiǎn)巨大。《Forrester應(yīng)用軟件安全現(xiàn)狀報(bào)告（2021）》中指出：近三分之一的安全漏洞是由軟件漏洞引起。

嵌入式軟件開發(fā)團(tuán)隊(duì)需要專門的策略和戰(zhàn)術(shù)，以便消除其解決方案中日益增長(zhǎng)的安全漏洞風(fēng)險(xiǎn)。數(shù)十年來，為消除安全漏洞對(duì)嵌入式系統(tǒng)的影響，風(fēng)河持續(xù)提供軟件解決方案和專業(yè)服務(wù)，并積累了豐富的專業(yè)知識(shí)，從而成為嵌入式開發(fā)人員的堅(jiān)強(qiáng)后盾。

基于風(fēng)河多年來所積累的資源，我們?yōu)檫M(jìn)行CVE掃描并解決安全漏洞提供了10項(xiàng)必備功能。

1. 漏洞生命管理周期

開發(fā)團(tuán)隊(duì)讓產(chǎn)品不斷推陳出新，軟件代碼也被一次又一次地修改。功能在更新、添加和重構(gòu)，軟件包、第三方代碼也不斷發(fā)生著各種變化。面對(duì)這樣的情況，漏洞掃描工作永遠(yuǎn)都不可能一勞永逸。

漏洞生命周期管理——Gartner

開發(fā)團(tuán)隊(duì)?wèi)?yīng)該將漏洞檢測(cè)工作以完整生命周期的方式進(jìn)行管理，其中包括持續(xù)評(píng)估、優(yōu)先級(jí)排序、掃描和檢測(cè)等環(huán)節(jié)。同時(shí)，也應(yīng)該形成一套擴(kuò)大已知漏洞庫的方法，以便使檢測(cè)能力隨著時(shí)間的推移而不斷提升。最終結(jié)果應(yīng)該是，采用漏洞管理生命周期方法實(shí)現(xiàn)顯著降低平臺(tái)與應(yīng)用代碼風(fēng)險(xiǎn)，化解潛在安全漏洞風(fēng)險(xiǎn)。

2.精確性

如今CVE數(shù)據(jù)庫的增長(zhǎng)速度比以往任何時(shí)候都快，已知漏洞數(shù)量不斷創(chuàng)下歷史新高。更不幸的是，并沒有跡象表明這一趨勢(shì)有任何放緩。漏洞威脅日趨嚴(yán)峻，威脅行為數(shù)量眾多，安全性攻擊的危害程度令人擔(dān)憂。

然而，許多已知CVE對(duì)于嵌入式開發(fā)人員來說是不相關(guān)的。有效漏洞管理的一個(gè)關(guān)鍵成功因素是通過裁減市面已知的CVE列表來構(gòu)建會(huì)顯著影響嵌入式開發(fā)團(tuán)隊(duì)的CVE數(shù)據(jù)庫。

2. 精準(zhǔn)分類CVE來源

面向嵌入式開發(fā)，針對(duì)眾多來源的CVE，風(fēng)河公司建立了精準(zhǔn)分類的數(shù)據(jù)庫。在整個(gè)漏洞管理生命周期內(nèi)，軟件開發(fā)團(tuán)隊(duì)都可以利用這個(gè)CVE數(shù)據(jù)庫來確保漏洞掃描的精確性和有效性。這不僅節(jié)省了漏洞分析所需的時(shí)間和資源，而且也讓開發(fā)人員可以獲得風(fēng)河公司在解決安全漏洞方面積累的經(jīng)驗(yàn)。

3.保持及時(shí)更新

漏洞掃描的水平依賴于CVE資源，因此保持漏洞數(shù)據(jù)庫及時(shí)更新，對(duì)于解決好安全風(fēng)險(xiǎn)問題至關(guān)重要。新的漏洞每天都會(huì)產(chǎn)生，而收集匯總的機(jī)構(gòu)各不相同，包括美國國家漏洞數(shù)據(jù)庫、Mitre以及其他資源庫。因此，匯總眾多資源以保持CVE數(shù)據(jù)庫處于最新狀態(tài)，這并非易事。

Wind River CVE數(shù)據(jù)庫專門為嵌入式開發(fā)團(tuán)隊(duì)而精心編制，為保持CVE處于最新狀態(tài)提供了關(guān)鍵性的支持。憑借這些資源，您可以確信——最新出現(xiàn)的漏洞也不會(huì)成為漏網(wǎng)之魚。

4.漏洞識(shí)別自動(dòng)化

風(fēng)河公司推薦采用自動(dòng)化方法來檢測(cè)漏洞。這項(xiàng)工作的前提是創(chuàng)建軟件物料清單（Software Bill-of-Materials, SBOM），包含Linux OS平臺(tái)以及應(yīng)用軟件中用到的每個(gè)軟件包。我們的解決方案可以協(xié)助創(chuàng)建這個(gè)組件細(xì)目，以便您始終擁有所用軟件包清單。

SBOM采用軟件包數(shù)據(jù)交換（Software Package Data eXchange，SPDX）格式，不僅包括描述符信息，還包括版本、名稱、許可證、提供商以及與軟件包相關(guān)的其他元數(shù)據(jù)。通過這些信息，開發(fā)人員可以創(chuàng)建包含其Linux操作系統(tǒng)和應(yīng)用軟件的詳細(xì)軟件清單，由此成為隨后為所用軟件量身定制智能漏洞掃描的基礎(chǔ)。

5. 分類效率

對(duì)于許多剛剛開始漏洞評(píng)估流程的團(tuán)隊(duì)來說，最初的掃描很可能會(huì)是令人崩潰的——在較大規(guī)模的代碼庫中有時(shí)會(huì)發(fā)現(xiàn)數(shù)百甚至數(shù)千個(gè)漏洞。

首先遭遇的挑戰(zhàn)就是你根本不知道從哪里著手。通用漏洞評(píng)分系統(tǒng)（Common Vulnerabilities Scoring System）為跟蹤的每個(gè)CVE提供嚴(yán)重程度評(píng)分。風(fēng)河漏洞掃描器可以根據(jù)這個(gè)評(píng)分結(jié)果提供對(duì)代碼影響最大的CVE優(yōu)先列表。有了CVSS評(píng)分，開發(fā)人員就可以專注于解決方案中風(fēng)險(xiǎn)最大的漏洞。

CVE依照嚴(yán)重性予以分級(jí)

如前所述，反復(fù)的評(píng)估工作對(duì)于確保已知風(fēng)險(xiǎn)不會(huì)再次引入軟件代碼至關(guān)重要。將過舊的軟件包、軟件組件鏈接或編譯到應(yīng)用中，這是十分常見的情況。風(fēng)河公司的漏洞掃描功能可以保存高優(yōu)先級(jí)CVE列表，以確保對(duì)其進(jìn)行持續(xù)評(píng)估，這對(duì)于有效評(píng)估Linux平臺(tái)和應(yīng)用軟件相關(guān)的風(fēng)險(xiǎn)至關(guān)重要。

6.自動(dòng)識(shí)別許可證和合規(guī)性

并非所有風(fēng)險(xiǎn)都以軟件漏洞的形式出現(xiàn)。當(dāng)今軟件中大約有80%包含開源和第三方軟件組件，安全風(fēng)險(xiǎn)不容忽視。而這些開源軟件包還包括許可證限制和使用指南。如果不遵守這些限制和指南，可能會(huì)受到嚴(yán)重的處罰。

IP和許可證掃描如果不是自動(dòng)進(jìn)行，就會(huì)非常耗時(shí)。所幸的是，通過標(biāo)準(zhǔn)化SPDX等格式來描述軟件包，并維護(hù)嚴(yán)格的SBOM，開發(fā)人員可以實(shí)現(xiàn)許可證和合規(guī)性的自動(dòng)掃描。

7. DevOps集成

請(qǐng)您想象這樣一個(gè)場(chǎng)景：在傳統(tǒng)的瀑布式開發(fā)模型中，開發(fā)團(tuán)隊(duì)完成其平臺(tái)或應(yīng)用軟件方面的工作，然后將成果交給發(fā)布團(tuán)隊(duì)，在此之前要執(zhí)行一些驗(yàn)證工作，包括漏洞掃描。如果此時(shí)發(fā)現(xiàn)軟件棧中使用的開源軟件包存在基本安全風(fēng)險(xiǎn)，他們別無選擇，只能將全部軟件返工給開發(fā)團(tuán)隊(duì)去消除漏洞，這必然會(huì)導(dǎo)致項(xiàng)目進(jìn)度落后于計(jì)劃。

這種情況并不罕見，而且用這種方法解決安全漏洞問題，其代價(jià)十分昂貴！這就讓我們想到，DevOps以及“Shifting Left（左移）”所帶來的好處，例如借助于自動(dòng)化技術(shù)提前進(jìn)行漏洞掃描，在開發(fā)周期中的更早階段及時(shí)察覺風(fēng)險(xiǎn)，從而以更加簡(jiǎn)便的方式在更低成本的階段防患于未然。

CVE掃描是Wind River Studio中的流水線單元（Pipeline Element）

在構(gòu)建過程的早期就可以進(jìn)行漏洞與CVE自動(dòng)掃描，從而使開發(fā)人員在開發(fā)周期中的較早環(huán)節(jié)消除已知的安全風(fēng)險(xiǎn)。這反過來又為產(chǎn)品生命周期帶來了不少好處，包括更高的安全水平和更靈活的模型，以便解決已發(fā)現(xiàn)的安全問題。

8.         儀表板和健康監(jiān)視器

我們正在進(jìn)入集成化的時(shí)代，應(yīng)用軟件越來越互聯(lián)網(wǎng)化，我們正在從孤立信息和離線內(nèi)容轉(zhuǎn)向健康狀態(tài)和安全監(jiān)控的一體化視圖。雖然搜索引擎和各種漏洞數(shù)據(jù)庫很有用，但開發(fā)團(tuán)隊(duì)和工程項(xiàng)目領(lǐng)導(dǎo)者需要對(duì)其平臺(tái)和應(yīng)用系統(tǒng)進(jìn)行整合與簡(jiǎn)化，而不是從不同來源尋找和拼湊各種信息。

CVE掃描儀表板

儀表板是查看此類整合視圖的重要方式。良好、有益的儀表板應(yīng)該提供系統(tǒng)狀態(tài)的高級(jí)視圖，讓人一目了然，同時(shí)在必要時(shí)支持向下挖掘（Drill-Down）和詳細(xì)報(bào)告。儀表板顯示的內(nèi)容也應(yīng)該可以自動(dòng)更新以確保不會(huì)過時(shí)。

9. 報(bào)告功能

軟件和硬件供應(yīng)鏈中的風(fēng)險(xiǎn)日益增多，已經(jīng)成為企業(yè)關(guān)注的焦點(diǎn)。許多終端用戶要求供應(yīng)商的安全驗(yàn)證方法具備透明度和報(bào)告功能，甚至還可能要求供應(yīng)商提供有關(guān)安全保障的其他信息。這些要求在漏洞評(píng)估方面體現(xiàn)得尤為明顯?？蛻羝谕?yīng)商針對(duì)已知漏洞對(duì)其系統(tǒng)組件進(jìn)行驗(yàn)證，因?yàn)樗麄兺瑯右残枰C明自己所提供的設(shè)備是足夠安全的。

提供安全報(bào)告是一項(xiàng)耗時(shí)的工作，但其中許多內(nèi)容可以通過CVE掃描自動(dòng)化和整合數(shù)據(jù)聚合來生成。開發(fā)團(tuán)隊(duì)會(huì)發(fā)現(xiàn)，很有必要對(duì)CVE檢測(cè)自動(dòng)化做出適當(dāng)投資，來呈現(xiàn)CVE的檢測(cè)和解決時(shí)間。他們也可能需要呈現(xiàn)已發(fā)現(xiàn)CVE的嚴(yán)重程度，這對(duì)于系統(tǒng)中的關(guān)鍵組件尤為如此。

10. 信息安全和隱私保護(hù)

CVE掃描功能雖然能帶來了不少好處，但也會(huì)帶來信息安全風(fēng)險(xiǎn)。在Linux平臺(tái)或應(yīng)用系統(tǒng)中，任何包含已知漏洞信息的工具和尚未修補(bǔ)的CVE都可能成為軟件堆棧中的弱點(diǎn)，被攻擊者當(dāng)作突破口。您使用的任何CVE掃描工具都應(yīng)該是安全的，并且來自可信的供應(yīng)商。

在評(píng)估CVE掃描的安全解決方案時(shí)，需要謹(jǐn)記三個(gè)特征：

1） 訪問控制：具備嚴(yán)格的訪問控制機(jī)制，以防止未經(jīng)授權(quán)訪問敏感信息。

2） Manifest保護(hù)：能夠保護(hù)正在掃描CVE的資產(chǎn)——通常是源代碼和軟件包。這些Manifest必須得到保護(hù)，以確保SBOM和其他有關(guān)Linux平臺(tái)或應(yīng)用組件的敏感信息不會(huì)落入壞人手中。

3） 客戶隱私保護(hù)：掃描工具不應(yīng)損害供應(yīng)商和客戶之間的關(guān)系。這種關(guān)系應(yīng)該通過各種機(jī)制保護(hù)起來，例如加密、訪問控制或其他各種手段的結(jié)合應(yīng)用。

風(fēng)河是您的安全伙伴

CVE掃描自動(dòng)化技術(shù)應(yīng)該作為開發(fā)團(tuán)隊(duì)發(fā)現(xiàn)漏洞的一種有效手段。其中，最大的困難不是發(fā)現(xiàn)漏洞，而是修復(fù)漏洞——知道哪些補(bǔ)丁適用于哪些版本，善于選擇升級(jí)路徑和安全技術(shù)，從而有效地解決漏洞。

Wind River Studio Linux Services團(tuán)隊(duì)長(zhǎng)期服務(wù)于眾多的工程項(xiàng)目，為客戶提供安全最佳實(shí)踐指導(dǎo)，同時(shí)為您的Linux平臺(tái)、應(yīng)用軟件和系統(tǒng)帶來專業(yè)知識(shí)和經(jīng)驗(yàn)。此外，針對(duì)Yocto Linux和Wind River Linux，風(fēng)河公司都長(zhǎng)期維護(hù)補(bǔ)丁包，可以確保您的操作系統(tǒng)始終處于最新版本，而補(bǔ)丁包則可以隨時(shí)修補(bǔ)已知的漏洞。

無論您的企業(yè)處于漏洞管理旅程的哪個(gè)階段，Wind River Studio Linux Services都可以提供幫助。您可以通過風(fēng)河公司專門為嵌入式系統(tǒng)設(shè)計(jì)而精心維護(hù)的CVE數(shù)據(jù)庫來識(shí)別CVE，也可以通過與Studio Linux Service團(tuán)隊(duì)合作來解決您產(chǎn)品中棘手的安全風(fēng)險(xiǎn)。

總之，風(fēng)河始終都是您的安全伙伴。