CVE掃描10項必備功能

應該感謝蓬勃發(fā)展的開源社區(qū)為我們貢獻了空前的項目和解決方案，而且是以開源代碼的方式提供給我們。這給開發(fā)人員帶來的好處是，可以獲得非常有用的開源解決方案，但不利的一方面是，代碼質量差異非常大。

所幸我們有Common Vulnerabilities & Exposures（CVE，通用漏洞披露）數據庫，其中報告并追蹤著成千上萬的軟件漏洞。隨著軟件數量的不斷增加，CVE數據庫中記錄的漏洞也在不斷增加。事實上，2021年度CVE報告提交的漏洞數量是歷史上最多的，超過了20000個。

如果不掃描檢查，嵌入式開發(fā)人員很可能就會在其軟件產品中混入了包含嚴重安全漏洞的代碼，并且完全不知道這些漏洞的存在，由此導致的安全風險巨大。《Forrester應用軟件安全現狀報告（2021）》中指出：近三分之一的安全漏洞是由軟件漏洞引起。

嵌入式軟件開發(fā)團隊需要專門的策略和戰(zhàn)術，以便消除其解決方案中日益增長的安全漏洞風險。數十年來，為消除安全漏洞對嵌入式系統的影響，風河持續(xù)提供軟件解決方案和專業(yè)服務，并積累了豐富的專業(yè)知識，從而成為嵌入式開發(fā)人員的堅強后盾。

基于風河多年來所積累的資源，我們?yōu)檫M行CVE掃描并解決安全漏洞提供了10項必備功能。

1. 漏洞生命管理周期

開發(fā)團隊讓產品不斷推陳出新，軟件代碼也被一次又一次地修改。功能在更新、添加和重構，軟件包、第三方代碼也不斷發(fā)生著各種變化。面對這樣的情況，漏洞掃描工作永遠都不可能一勞永逸。

漏洞生命周期管理——Gartner

開發(fā)團隊應該將漏洞檢測工作以完整生命周期的方式進行管理，其中包括持續(xù)評估、優(yōu)先級排序、掃描和檢測等環(huán)節(jié)。同時，也應該形成一套擴大已知漏洞庫的方法，以便使檢測能力隨著時間的推移而不斷提升。最終結果應該是，采用漏洞管理生命周期方法實現顯著降低平臺與應用代碼風險，化解潛在安全漏洞風險。

2.精確性

如今CVE數據庫的增長速度比以往任何時候都快，已知漏洞數量不斷創(chuàng)下歷史新高。更不幸的是，并沒有跡象表明這一趨勢有任何放緩。漏洞威脅日趨嚴峻，威脅行為數量眾多，安全性攻擊的危害程度令人擔憂。

然而，許多已知CVE對于嵌入式開發(fā)人員來說是不相關的。有效漏洞管理的一個關鍵成功因素是通過裁減市面已知的CVE列表來構建會顯著影響嵌入式開發(fā)團隊的CVE數據庫。

2. 精準分類CVE來源

面向嵌入式開發(fā)，針對眾多來源的CVE，風河公司建立了精準分類的數據庫。在整個漏洞管理生命周期內，軟件開發(fā)團隊都可以利用這個CVE數據庫來確保漏洞掃描的精確性和有效性。這不僅節(jié)省了漏洞分析所需的時間和資源，而且也讓開發(fā)人員可以獲得風河公司在解決安全漏洞方面積累的經驗。

3.保持及時更新

漏洞掃描的水平依賴于CVE資源，因此保持漏洞數據庫及時更新，對于解決好安全風險問題至關重要。新的漏洞每天都會產生，而收集匯總的機構各不相同，包括美國國家漏洞數據庫、Mitre以及其他資源庫。因此，匯總眾多資源以保持CVE數據庫處于最新狀態(tài)，這并非易事。

Wind River CVE數據庫專門為嵌入式開發(fā)團隊而精心編制，為保持CVE處于最新狀態(tài)提供了關鍵性的支持。憑借這些資源，您可以確信——最新出現的漏洞也不會成為漏網之魚。

4.漏洞識別自動化

風河公司推薦采用自動化方法來檢測漏洞。這項工作的前提是創(chuàng)建軟件物料清單（Software Bill-of-Materials, SBOM），包含Linux OS平臺以及應用軟件中用到的每個軟件包。我們的解決方案可以協助創(chuàng)建這個組件細目，以便您始終擁有所用軟件包清單。

SBOM采用軟件包數據交換（Software Package Data eXchange，SPDX）格式，不僅包括描述符信息，還包括版本、名稱、許可證、提供商以及與軟件包相關的其他元數據。通過這些信息，開發(fā)人員可以創(chuàng)建包含其Linux操作系統和應用軟件的詳細軟件清單，由此成為隨后為所用軟件量身定制智能漏洞掃描的基礎。

5. 分類效率

對于許多剛剛開始漏洞評估流程的團隊來說，最初的掃描很可能會是令人崩潰的——在較大規(guī)模的代碼庫中有時會發(fā)現數百甚至數千個漏洞。

首先遭遇的挑戰(zhàn)就是你根本不知道從哪里著手。通用漏洞評分系統（Common Vulnerabilities Scoring System）為跟蹤的每個CVE提供嚴重程度評分。風河漏洞掃描器可以根據這個評分結果提供對代碼影響最大的CVE優(yōu)先列表。有了CVSS評分，開發(fā)人員就可以專注于解決方案中風險最大的漏洞。

CVE依照嚴重性予以分級

如前所述，反復的評估工作對于確保已知風險不會再次引入軟件代碼至關重要。將過舊的軟件包、軟件組件鏈接或編譯到應用中，這是十分常見的情況。風河公司的漏洞掃描功能可以保存高優(yōu)先級CVE列表，以確保對其進行持續(xù)評估，這對于有效評估Linux平臺和應用軟件相關的風險至關重要。

6.自動識別許可證和合規(guī)性

并非所有風險都以軟件漏洞的形式出現。當今軟件中大約有80%包含開源和第三方軟件組件，安全風險不容忽視。而這些開源軟件包還包括許可證限制和使用指南。如果不遵守這些限制和指南，可能會受到嚴重的處罰。

IP和許可證掃描如果不是自動進行，就會非常耗時。所幸的是，通過標準化SPDX等格式來描述軟件包，并維護嚴格的SBOM，開發(fā)人員可以實現許可證和合規(guī)性的自動掃描。

7. DevOps集成

請您想象這樣一個場景：在傳統的瀑布式開發(fā)模型中，開發(fā)團隊完成其平臺或應用軟件方面的工作，然后將成果交給發(fā)布團隊，在此之前要執(zhí)行一些驗證工作，包括漏洞掃描。如果此時發(fā)現軟件棧中使用的開源軟件包存在基本安全風險，他們別無選擇，只能將全部軟件返工給開發(fā)團隊去消除漏洞，這必然會導致項目進度落后于計劃。

這種情況并不罕見，而且用這種方法解決安全漏洞問題，其代價十分昂貴！這就讓我們想到，DevOps以及“Shifting Left（左移）”所帶來的好處，例如借助于自動化技術提前進行漏洞掃描，在開發(fā)周期中的更早階段及時察覺風險，從而以更加簡便的方式在更低成本的階段防患于未然。

CVE掃描是Wind River Studio中的流水線單元（Pipeline Element）

在構建過程的早期就可以進行漏洞與CVE自動掃描，從而使開發(fā)人員在開發(fā)周期中的較早環(huán)節(jié)消除已知的安全風險。這反過來又為產品生命周期帶來了不少好處，包括更高的安全水平和更靈活的模型，以便解決已發(fā)現的安全問題。

8.         儀表板和健康監(jiān)視器

我們正在進入集成化的時代，應用軟件越來越互聯網化，我們正在從孤立信息和離線內容轉向健康狀態(tài)和安全監(jiān)控的一體化視圖。雖然搜索引擎和各種漏洞數據庫很有用，但開發(fā)團隊和工程項目領導者需要對其平臺和應用系統進行整合與簡化，而不是從不同來源尋找和拼湊各種信息。

CVE掃描儀表板

儀表板是查看此類整合視圖的重要方式。良好、有益的儀表板應該提供系統狀態(tài)的高級視圖，讓人一目了然，同時在必要時支持向下挖掘（Drill-Down）和詳細報告。儀表板顯示的內容也應該可以自動更新以確保不會過時。

9. 報告功能

軟件和硬件供應鏈中的風險日益增多，已經成為企業(yè)關注的焦點。許多終端用戶要求供應商的安全驗證方法具備透明度和報告功能，甚至還可能要求供應商提供有關安全保障的其他信息。這些要求在漏洞評估方面體現得尤為明顯。客戶期望供應商針對已知漏洞對其系統組件進行驗證，因為他們同樣也需要證明自己所提供的設備是足夠安全的。

提供安全報告是一項耗時的工作，但其中許多內容可以通過CVE掃描自動化和整合數據聚合來生成。開發(fā)團隊會發(fā)現，很有必要對CVE檢測自動化做出適當投資，來呈現CVE的檢測和解決時間。他們也可能需要呈現已發(fā)現CVE的嚴重程度，這對于系統中的關鍵組件尤為如此。

10. 信息安全和隱私保護

CVE掃描功能雖然能帶來了不少好處，但也會帶來信息安全風險。在Linux平臺或應用系統中，任何包含已知漏洞信息的工具和尚未修補的CVE都可能成為軟件堆棧中的弱點，被攻擊者當作突破口。您使用的任何CVE掃描工具都應該是安全的，并且來自可信的供應商。

在評估CVE掃描的安全解決方案時，需要謹記三個特征：

1） 訪問控制：具備嚴格的訪問控制機制，以防止未經授權訪問敏感信息。

2） Manifest保護：能夠保護正在掃描CVE的資產——通常是源代碼和軟件包。這些Manifest必須得到保護，以確保SBOM和其他有關Linux平臺或應用組件的敏感信息不會落入壞人手中。

3） 客戶隱私保護：掃描工具不應損害供應商和客戶之間的關系。這種關系應該通過各種機制保護起來，例如加密、訪問控制或其他各種手段的結合應用。

風河是您的安全伙伴

CVE掃描自動化技術應該作為開發(fā)團隊發(fā)現漏洞的一種有效手段。其中，最大的困難不是發(fā)現漏洞，而是修復漏洞——知道哪些補丁適用于哪些版本，善于選擇升級路徑和安全技術，從而有效地解決漏洞。

Wind River Studio Linux Services團隊長期服務于眾多的工程項目，為客戶提供安全最佳實踐指導，同時為您的Linux平臺、應用軟件和系統帶來專業(yè)知識和經驗。此外，針對Yocto Linux和Wind River Linux，風河公司都長期維護補丁包，可以確保您的操作系統始終處于最新版本，而補丁包則可以隨時修補已知的漏洞。

無論您的企業(yè)處于漏洞管理旅程的哪個階段，Wind River Studio Linux Services都可以提供幫助。您可以通過風河公司專門為嵌入式系統設計而精心維護的CVE數據庫來識別CVE，也可以通過與Studio Linux Service團隊合作來解決您產品中棘手的安全風險。

總之，風河始終都是您的安全伙伴。