CVE掃描10項必備功能

應該感謝蓬勃發展的開源社區為我們貢獻了空前的項目和解決方案，而且是以開源代碼的方式提供給我們。這給開發人員帶來的好處是，可以獲得非常有用的開源解決方案，但不利的一方面是，代碼質量差異非常大。

所幸我們有Common Vulnerabilities & Exposures（CVE，通用漏洞披露）數據庫，其中報告并追蹤著成千上萬的軟件漏洞。隨著軟件數量的不斷增加，CVE數據庫中記錄的漏洞也在不斷增加。事實上，2021年度CVE報告提交的漏洞數量是歷史上最多的，超過了20000個。

如果不掃描檢查，嵌入式開發人員很可能就會在其軟件產品中混入了包含嚴重安全漏洞的代碼，并且完全不知道這些漏洞的存在，由此導致的安全風險巨大。《Forrester應用軟件安全現狀報告（2021）》中指出：近三分之一的安全漏洞是由軟件漏洞引起。

嵌入式軟件開發團隊需要專門的策略和戰術，以便消除其解決方案中日益增長的安全漏洞風險。數十年來，為消除安全漏洞對嵌入式系統的影響，風河持續提供軟件解決方案和專業服務，并積累了豐富的專業知識，從而成為嵌入式開發人員的堅強后盾。

基于風河多年來所積累的資源，我們為進行CVE掃描并解決安全漏洞提供了10項必備功能。

1. 漏洞生命管理周期

開發團隊讓產品不斷推陳出新，軟件代碼也被一次又一次地修改。功能在更新、添加和重構，軟件包、第三方代碼也不斷發生著各種變化。面對這樣的情況，漏洞掃描工作永遠都不可能一勞永逸。

漏洞生命周期管理——Gartner

開發團隊應該將漏洞檢測工作以完整生命周期的方式進行管理，其中包括持續評估、優先級排序、掃描和檢測等環節。同時，也應該形成一套擴大已知漏洞庫的方法，以便使檢測能力隨著時間的推移而不斷提升。最終結果應該是，采用漏洞管理生命周期方法實現顯著降低平臺與應用代碼風險，化解潛在安全漏洞風險。

2.精確性

如今CVE數據庫的增長速度比以往任何時候都快，已知漏洞數量不斷創下歷史新高。更不幸的是，并沒有跡象表明這一趨勢有任何放緩。漏洞威脅日趨嚴峻，威脅行為數量眾多，安全性攻擊的危害程度令人擔憂。

然而，許多已知CVE對于嵌入式開發人員來說是不相關的。有效漏洞管理的一個關鍵成功因素是通過裁減市面已知的CVE列表來構建會顯著影響嵌入式開發團隊的CVE數據庫。

2. 精準分類CVE來源

面向嵌入式開發，針對眾多來源的CVE，風河公司建立了精準分類的數據庫。在整個漏洞管理生命周期內，軟件開發團隊都可以利用這個CVE數據庫來確保漏洞掃描的精確性和有效性。這不僅節省了漏洞分析所需的時間和資源，而且也讓開發人員可以獲得風河公司在解決安全漏洞方面積累的經驗。

3.保持及時更新

漏洞掃描的水平依賴于CVE資源，因此保持漏洞數據庫及時更新，對于解決好安全風險問題至關重要。新的漏洞每天都會產生，而收集匯總的機構各不相同，包括美國國家漏洞數據庫、Mitre以及其他資源庫。因此，匯總眾多資源以保持CVE數據庫處于最新狀態，這并非易事。

Wind River CVE數據庫專門為嵌入式開發團隊而精心編制，為保持CVE處于最新狀態提供了關鍵性的支持。憑借這些資源，您可以確信——最新出現的漏洞也不會成為漏網之魚。

4.漏洞識別自動化

風河公司推薦采用自動化方法來檢測漏洞。這項工作的前提是創建軟件物料清單（Software Bill-of-Materials, SBOM），包含Linux OS平臺以及應用軟件中用到的每個軟件包。我們的解決方案可以協助創建這個組件細目，以便您始終擁有所用軟件包清單。

SBOM采用軟件包數據交換（Software Package Data eXchange，SPDX）格式，不僅包括描述符信息，還包括版本、名稱、許可證、提供商以及與軟件包相關的其他元數據。通過這些信息，開發人員可以創建包含其Linux操作系統和應用軟件的詳細軟件清單，由此成為隨后為所用軟件量身定制智能漏洞掃描的基礎。

5. 分類效率

對于許多剛剛開始漏洞評估流程的團隊來說，最初的掃描很可能會是令人崩潰的——在較大規模的代碼庫中有時會發現數百甚至數千個漏洞。

首先遭遇的挑戰就是你根本不知道從哪里著手。通用漏洞評分系統（Common Vulnerabilities Scoring System）為跟蹤的每個CVE提供嚴重程度評分。風河漏洞掃描器可以根據這個評分結果提供對代碼影響最大的CVE優先列表。有了CVSS評分，開發人員就可以專注于解決方案中風險最大的漏洞。

CVE依照嚴重性予以分級

如前所述，反復的評估工作對于確保已知風險不會再次引入軟件代碼至關重要。將過舊的軟件包、軟件組件鏈接或編譯到應用中，這是十分常見的情況。風河公司的漏洞掃描功能可以保存高優先級CVE列表，以確保對其進行持續評估，這對于有效評估Linux平臺和應用軟件相關的風險至關重要。

6.自動識別許可證和合規性

并非所有風險都以軟件漏洞的形式出現。當今軟件中大約有80%包含開源和第三方軟件組件，安全風險不容忽視。而這些開源軟件包還包括許可證限制和使用指南。如果不遵守這些限制和指南，可能會受到嚴重的處罰。

IP和許可證掃描如果不是自動進行，就會非常耗時。所幸的是，通過標準化SPDX等格式來描述軟件包，并維護嚴格的SBOM，開發人員可以實現許可證和合規性的自動掃描。

7. DevOps集成

請您想象這樣一個場景：在傳統的瀑布式開發模型中，開發團隊完成其平臺或應用軟件方面的工作，然后將成果交給發布團隊，在此之前要執行一些驗證工作，包括漏洞掃描。如果此時發現軟件棧中使用的開源軟件包存在基本安全風險，他們別無選擇，只能將全部軟件返工給開發團隊去消除漏洞，這必然會導致項目進度落后于計劃。

這種情況并不罕見，而且用這種方法解決安全漏洞問題，其代價十分昂貴！這就讓我們想到，DevOps以及“Shifting Left（左移）”所帶來的好處，例如借助于自動化技術提前進行漏洞掃描，在開發周期中的更早階段及時察覺風險，從而以更加簡便的方式在更低成本的階段防患于未然。

CVE掃描是Wind River Studio中的流水線單元（Pipeline Element）

在構建過程的早期就可以進行漏洞與CVE自動掃描，從而使開發人員在開發周期中的較早環節消除已知的安全風險。這反過來又為產品生命周期帶來了不少好處，包括更高的安全水平和更靈活的模型，以便解決已發現的安全問題。

8.         儀表板和健康監視器

我們正在進入集成化的時代，應用軟件越來越互聯網化，我們正在從孤立信息和離線內容轉向健康狀態和安全監控的一體化視圖。雖然搜索引擎和各種漏洞數據庫很有用，但開發團隊和工程項目領導者需要對其平臺和應用系統進行整合與簡化，而不是從不同來源尋找和拼湊各種信息。

CVE掃描儀表板

儀表板是查看此類整合視圖的重要方式。良好、有益的儀表板應該提供系統狀態的高級視圖，讓人一目了然，同時在必要時支持向下挖掘（Drill-Down）和詳細報告。儀表板顯示的內容也應該可以自動更新以確保不會過時。

9. 報告功能

軟件和硬件供應鏈中的風險日益增多，已經成為企業關注的焦點。許多終端用戶要求供應商的安全驗證方法具備透明度和報告功能，甚至還可能要求供應商提供有關安全保障的其他信息。這些要求在漏洞評估方面體現得尤為明顯。客戶期望供應商針對已知漏洞對其系統組件進行驗證，因為他們同樣也需要證明自己所提供的設備是足夠安全的。

提供安全報告是一項耗時的工作，但其中許多內容可以通過CVE掃描自動化和整合數據聚合來生成。開發團隊會發現，很有必要對CVE檢測自動化做出適當投資，來呈現CVE的檢測和解決時間。他們也可能需要呈現已發現CVE的嚴重程度，這對于系統中的關鍵組件尤為如此。

10. 信息安全和隱私保護

CVE掃描功能雖然能帶來了不少好處，但也會帶來信息安全風險。在Linux平臺或應用系統中，任何包含已知漏洞信息的工具和尚未修補的CVE都可能成為軟件堆棧中的弱點，被攻擊者當作突破口。您使用的任何CVE掃描工具都應該是安全的，并且來自可信的供應商。

在評估CVE掃描的安全解決方案時，需要謹記三個特征：

1） 訪問控制：具備嚴格的訪問控制機制，以防止未經授權訪問敏感信息。

2） Manifest保護：能夠保護正在掃描CVE的資產——通常是源代碼和軟件包。這些Manifest必須得到保護，以確保SBOM和其他有關Linux平臺或應用組件的敏感信息不會落入壞人手中。

3） 客戶隱私保護：掃描工具不應損害供應商和客戶之間的關系。這種關系應該通過各種機制保護起來，例如加密、訪問控制或其他各種手段的結合應用。

風河是您的安全伙伴

CVE掃描自動化技術應該作為開發團隊發現漏洞的一種有效手段。其中，最大的困難不是發現漏洞，而是修復漏洞——知道哪些補丁適用于哪些版本，善于選擇升級路徑和安全技術，從而有效地解決漏洞。

Wind River Studio Linux Services團隊長期服務于眾多的工程項目，為客戶提供安全最佳實踐指導，同時為您的Linux平臺、應用軟件和系統帶來專業知識和經驗。此外，針對Yocto Linux和Wind River Linux，風河公司都長期維護補丁包，可以確保您的操作系統始終處于最新版本，而補丁包則可以隨時修補已知的漏洞。

無論您的企業處于漏洞管理旅程的哪個階段，Wind River Studio Linux Services都可以提供幫助。您可以通過風河公司專門為嵌入式系統設計而精心維護的CVE數據庫來識別CVE，也可以通過與Studio Linux Service團隊合作來解決您產品中棘手的安全風險。

總之，風河始終都是您的安全伙伴。