安全公告的一个新变化承诺通过强调缺陷是否不仅存在于软件中而且实际上也可以利用来优化漏洞的分类。根据美国政府发布的用例(PDF),由美国政府开发的漏洞利用交换(VEX)使“供应商和用户都能够专注于构成最直接风险的漏洞”,并避免在没有影响的漏洞上浪费时间。美国网络安全和基础设施安全局(CISA),2022年4月。
正如 CISA 漏洞分析师贾斯汀·墨菲(Justin Murphy)所说:如果软件物料清单(SBOM)“打开仪表板上的闪光灯,VEX会帮助您确定必须关闭哪些灯”。
墨菲最近在爱尔兰都柏林举行的Linux安全峰会上发表讲话说,这种“负面安全咨询”补充了SBOM提供产品的“成分”,拜登总统已经下令,这应该是政府购买软件的先决条件。
来自国家电信和信息管理局(NTIA)项目的VEX公告建议产品是否“受影响”、“未受影响”、“已修复”或“正在调查”与特定错误相关。
正如CISA详细(PDF)所描述的,“不受影响”的名称可能伴随着“身份证明”,例如:
Murphy提出了一个特定的场景,“你有一个第三方依赖,它说代码是易受攻击的,但是由于编译器把它撕掉了,你实际上并没有受到影响”。或者,他继续说,产品可能使用易受攻击的库而不是其易受攻击的功能,或者包含围绕输入验证的保护。
Murphy建议,在提供有关可利用性的信息时,VEX咨询有助于增强SBOM和CISA于2021年秋季推出的已知被利用漏洞目录。
Murphy说,CVE的激增以及安全建议的增加使得解决已知漏洞成为“数据管理问题”。
问题是复杂的,因为咨询以各种格式出现,不仅妨碍机器可读性,而且“在某些情况下也妨碍人类可读性”。
向维护者询问缺陷——“你会得到回应吗?” ——或者进行自己的、耗时的调查几乎不是更好的选择,墨菲认为。
这一背景有助于解释CISA对互操作性的关注以及VEX建议可以在机器可读的OASIS CSAF标准中实施的事实。
Murphy承认,由于缺乏普遍认可的软件组件通用标识符系统,连接SBOM和VEX数据的愿望变得复杂。
因此,安全团队可能会错误地误解其堆栈的暴露情况,例如,当单独的SBOM无意中为同一组件使用不同的标识符或为不同的组件使用相同的标识符时。
Murphy建议,一个全面的组件识别系统可能需要“通过别名或等效关系”来解决这个问题,或许可以使用通用平台枚举(CPE)、包URL(purls)、SWID标签、SWHIDS和GitBOM的组合。
评论已关闭。