安全團(tuán)隊(duì)和軟件開發(fā)人員很容易被典型大型企業(yè)使用的數(shù)百個(gè)應(yīng)用程序中報(bào)告的無窮無盡的軟件漏洞所淹沒。但并非所有軟件漏洞都是平等的，需要立即關(guān)注。

了解哪些因素在未得到補(bǔ)救時(shí)會(huì)帶來明顯且存在的安全風(fēng)險(xiǎn)，這對(duì)于保護(hù)軟件供應(yīng)鏈至關(guān)重要。這就是漏洞評(píng)分可以幫助確定緩解規(guī)劃和管理的優(yōu)先級(jí)的地方。

過濾安全漏洞的一種有效方法是使用通用漏洞評(píng)分系統(tǒng) （CVSS）。如果只需要關(guān)注最關(guān)鍵的漏洞，則 CVSS 是有助于指導(dǎo)修復(fù)策略的指標(biāo)。

CVSS 由一個(gè)基本分?jǐn)?shù)組成，該分?jǐn)?shù)包含執(zhí)行攻擊所需的易用性、復(fù)雜性、用戶交互和特權(quán)級(jí)別。該分?jǐn)?shù)還包括攻擊的影響，這是衡量攻擊如何損害CIA的指標(biāo) - 機(jī)密性，完整性和可用性。CVSS還包括一個(gè)時(shí)間分?jǐn)?shù)，該分?jǐn)?shù)表示漏洞的當(dāng)前狀態(tài) - 是否存在漏洞利用以及補(bǔ)丁的狀態(tài)。這是一個(gè)綜合指標(biāo)，考慮了許多因素。

CVSS 值的范圍從 1 到 10，分?jǐn)?shù)在 9-10 之間是臨界值。關(guān)鍵漏洞是最容易利用的漏洞，不需要復(fù)雜的方法來觸發(fā)，并且對(duì)受攻擊的系統(tǒng)具有很高的影響和風(fēng)險(xiǎn)。換句話說，這些是您需要立即修復(fù)的漏洞。

CVSS 不僅是評(píng)估商用現(xiàn)貨 （COTS） 應(yīng)用程序的好方法，也是組織構(gòu)建和銷售的軟件產(chǎn)品中使用的第三方和開源代碼。

除了對(duì)漏洞進(jìn)行評(píng)分外，CVSS 還按類型以及這些漏洞在被利用時(shí)的危險(xiǎn)程度對(duì)漏洞進(jìn)行分類，如下所示：

遠(yuǎn)程代碼執(zhí)行（RCE）：允許外部數(shù)據(jù)（例如用戶輸入）成為可執(zhí)行代碼。這可能是由于替換目標(biāo)文件系統(tǒng)上的可執(zhí)行文件或?qū)е露褩Ｒ绯?，從而將堆棧幀替換為任意數(shù)據(jù)。利用這些漏洞是非常危險(xiǎn)的，因?yàn)樗鼈兪构粽吣軌蛟谑芄舻南到y(tǒng)上運(yùn)行任意代碼。

特權(quán)提升：使攻擊者能夠根據(jù)目標(biāo)操作系統(tǒng)提升進(jìn)程、根或管理員特權(quán)。通常，這些漏洞允許攻擊者在目標(biāo)系統(tǒng)上執(zhí)行幾乎任何操作。

任意代碼執(zhí)行：與RCE類似，這些漏洞允許攻擊者執(zhí)行注入的代碼（如格式錯(cuò)誤的文件），以強(qiáng)制系統(tǒng)執(zhí)行未經(jīng)授權(quán)的操作。

任意文件讀?。耗繕?biāo)系統(tǒng)上的文件通常被隱藏并受到操作系統(tǒng)的良好保護(hù)。但是，這種類型的漏洞可能允許應(yīng)用程序?qū)⑽募到y(tǒng)暴露給攻擊者。例如，可以通過此類攻擊檢索客戶數(shù)據(jù)庫的全部內(nèi)容。

路徑遍歷：與任意文件讀取漏洞類似，路徑遍歷允許攻擊者從目標(biāo)系統(tǒng)的其他部分讀取文件。這通常是通過格式錯(cuò)誤的輸入來完成的，這些輸入最終被用于受攻擊的應(yīng)用程序生成的文件名中。

修復(fù)軟件供應(yīng)鏈漏洞

以下步驟與 CVSS 結(jié)合使用，有助于降低軟件供應(yīng)鏈中漏洞的風(fēng)險(xiǎn)。

自滿是敵人：確保供應(yīng)鏈安全的最大問題是缺乏行動(dòng)。組織需要將更高的優(yōu)先級(jí)放在保護(hù)他們使用的COTS和內(nèi)部開發(fā)的應(yīng)用程序上。

保持可見性：創(chuàng)建并向供應(yīng)商索取準(zhǔn)確、詳細(xì)的軟件物料清單 （SBOM）。這是保護(hù) IT 安全團(tuán)隊(duì)、客戶和供應(yīng)商的軟件供應(yīng)鏈的重要工件。

針對(duì)更新進(jìn)行設(shè)計(jì)：現(xiàn)代軟件開發(fā)的現(xiàn)實(shí)是，您無法假設(shè)您的軟件將使用多長時(shí)間，以及您的依賴項(xiàng)或您自己的代碼中存在哪些漏洞。因此，必須將包含開源、第三方和/或外包軟件的軟件和產(chǎn)品設(shè)計(jì)為可更新。當(dāng)出現(xiàn)新的威脅或發(fā)現(xiàn)漏洞時(shí)，您的產(chǎn)品必須及時(shí)安全地進(jìn)行更新。

安全軟件交付：正如我們?cè)谧罱墓糁锌吹降哪菢樱S護(hù)用于安裝、修補(bǔ)和更新軟件的通道的安全性對(duì)于保護(hù)應(yīng)用程序免受損害至關(guān)重要。這包括驗(yàn)證有效負(fù)載是否合法的功能。

CVSS提供了一個(gè)很好的工具，可以消除軟件供應(yīng)鏈中構(gòu)成最大風(fēng)險(xiǎn)并需要立即關(guān)注的安全漏洞。但是，如果無法了解組織中是否存在這些漏洞以及存在這些漏洞的位置，安全團(tuán)隊(duì)就會(huì)視而不見。這就是軟件組成分析發(fā)揮作用的地方。通過創(chuàng)建 SBOM，組織可以識(shí)別包含 CVSS 漏洞的開源組件和庫，并相應(yīng)地確定其風(fēng)險(xiǎn)管理和補(bǔ)救活動(dòng)的優(yōu)先級(jí)。

審核編輯：郭婷