紅帽安全數(shù)據(jù)是關(guān)于已發(fā)布����、已知漏洞的紅帽產(chǎn)品的核心數(shù)據(jù)來源����。這些數(shù)據(jù)中的準(zhǔn)確信息可幫助客戶進(jìn)行風(fēng)險(xiǎn)評(píng)估,為漏洞管理計(jì)劃提供正確的指引����,并進(jìn)一步協(xié)助漏洞修補(bǔ)的優(yōu)先級(jí)排序。我們不斷通過添加更多信息到現(xiàn)有數(shù)據(jù)���、引入新的數(shù)據(jù)格式以及與其他供應(yīng)商(包括安全掃描器供應(yīng)商)就安全數(shù)據(jù)交換的一般方法進(jìn)行合作�,來不斷改進(jìn)我們的安全數(shù)據(jù)�����。
隨著每天發(fā)布的新軟件缺陷���、漏洞(特指CVE ID)和利用程序�,漏洞信息幾乎立即向所有人公開,包括客戶和潛在攻擊者�����。根據(jù)各種風(fēng)險(xiǎn)報(bào)告�����,包括最近發(fā)布的2022紅帽產(chǎn)品安全風(fēng)險(xiǎn)報(bào)告�,從2021年到2022年,具有指定CVE ID的漏洞數(shù)量增長了25%�。考慮到這些數(shù)字�,顯然,“修復(fù)一切”方法是不現(xiàn)實(shí)的��,主要是因?yàn)橹挥新愿哂?%的已發(fā)布漏洞對組織構(gòu)成了實(shí)際風(fēng)險(xiǎn)��。
那么��,如何進(jìn)行漏洞管理才是最佳實(shí)踐呢�?首先,需要對軟件漏洞和如何正確評(píng)估實(shí)際風(fēng)險(xiǎn)有充分的了解��。為了進(jìn)行準(zhǔn)確的風(fēng)險(xiǎn)評(píng)估��,使用來自供應(yīng)商的可靠的安全數(shù)據(jù)源是至關(guān)重要的。閱讀“從容應(yīng)對軟件漏洞:如何正確解讀CVE和CVSS�?”博文,了解更多信息��。
多年來�����,紅帽一直通過OVAL和CVRF數(shù)據(jù)格式提供有關(guān)其產(chǎn)品的安全信息���。然而����,就像其他領(lǐng)域一樣�,安全數(shù)據(jù)領(lǐng)域也在不斷變化,需要進(jìn)行調(diào)整和改進(jìn)以滿足新的行業(yè)標(biāo)準(zhǔn)和客戶要求���。
CSAF-VEX
2022年6月�����,紅帽開始以測試版形式使用新的CSAF格式發(fā)布安全公告��。2023年2月��,我們正式宣布CSAF格式已成為紅帽安全公告的官方格式��,取代了舊的CVRF格式。所有發(fā)布的安全公告都會(huì)在該路徑下公開發(fā)布:
https://access.redhat.com/security/data/csaf/v2/advisories/
CSAF文件的正式版本使用VEX配置文件來表示特定產(chǎn)品版本中哪些組件已經(jīng)修補(bǔ)以解決特定CVE,以及哪些組件不受該CVE影響���。雖然我們包含了有關(guān)未受影響組件的信息����,但它僅與至少在一個(gè)組件中修復(fù)的CVE有關(guān),不包括有關(guān)所有其他受影響CVE的信息�����。
為了進(jìn)一步改進(jìn)紅帽安全數(shù)據(jù)��,我們的下一步是為每個(gè)獨(dú)立的CVE發(fā)布單獨(dú)的VEX文件����,以涵蓋整個(gè)VEX配置文件定義的所有產(chǎn)品狀態(tài)。這樣做將提高我們的安全數(shù)據(jù)的精度和可靠性�����,使客戶更容易理解他們的產(chǎn)品是否受到特定漏洞的影響。
- 已修復(fù):鏈接到已發(fā)布的CSAF-VEX公告
- 已知受影響:確認(rèn)特定產(chǎn)品和組件受特定CVE影響
- 已知不受影響:確認(rèn)特定產(chǎn)品和組件不受特定CVE影響
- 正在調(diào)查:紅帽產(chǎn)品安全團(tuán)隊(duì)正在驗(yàn)證特定CVE對特定產(chǎn)品和組件的適用性(以及其影響)的信息
在CSAF格式中���,VEX配置文件的主要目的是讓供應(yīng)商聲明特定漏洞是否影響其產(chǎn)品以及如果受影響,修復(fù)狀態(tài)是什么���。CSAF公告覆蓋了特定產(chǎn)品發(fā)布中已修復(fù)和已知不受影響的組件��,而VEX文件則為所有紅帽產(chǎn)品中與特定CVE相關(guān)的組件提供了完整的適用性狀態(tài)(通過上述四種狀態(tài)進(jìn)行通信)�����。因此��,CSAF和VEX文件之間的關(guān)鍵區(qū)別在于�����,CSAF僅覆蓋了特定產(chǎn)品發(fā)布的兩種狀態(tài)(已修復(fù)和未受影響)�����,而VEX文件為每個(gè)CVE的所有產(chǎn)品提供了所有狀態(tài)的覆蓋����。VEX文件將在一個(gè)單獨(dú)的URL路徑下發(fā)布。紅帽還開始發(fā)布核心Red Hat產(chǎn)品的SBOM(軟件清單)文件���。SBOM是一個(gè)機(jī)器可讀的清單����,包含軟件組件和依賴項(xiàng)�,以及許可證和來源信息。這種綜合清單有助于建立采購審查和審核的軟件應(yīng)用/庫集中所包含內(nèi)容的清單�����。與VEX一起�,它有助于組織應(yīng)對其漏洞風(fēng)險(xiǎn)評(píng)估過程。這些文件共同提供了有關(guān)潛在風(fēng)險(xiǎn)的信息�����,例如包含漏洞的工件所在的位置��,以及這個(gè)工件與組件或產(chǎn)品的相關(guān)性�,并且它們的當(dāng)前狀態(tài)以防已知漏洞或攻擊。目前���,SBOM文檔的內(nèi)容和分發(fā)方式在行業(yè)內(nèi)仍存在許多討論�。不同類型的SBOM和分發(fā)方法已經(jīng)提出。紅帽正與其他供應(yīng)商合作����,努力定義發(fā)布有用的SBOM所需的具體要求,并向消費(fèi)者和合作伙伴介紹如何使用這些數(shù)據(jù)����。Red Hat發(fā)布的SBOM文件目前處于測試版�����,可供客戶測試��,可在下面鏈接上獲����。https://access.redhat.com/security/data/sbom/beta/spdx/
CSAF、VEX和SBOM之間的數(shù)據(jù)關(guān)系
SBOM文件有助于確定可能受影響的組件的位置�����,而VEX文件則有助于客戶確定自己是否受到特定漏洞的影響����。VEX文件提供必要的信息進(jìn)行風(fēng)險(xiǎn)評(píng)估�,例如Red Hat的嚴(yán)重性評(píng)級(jí)���、CVSS指標(biāo)或CSAF公告等風(fēng)險(xiǎn)元數(shù)據(jù)�,從而使客戶能夠制定更有效的修補(bǔ)優(yōu)先級(jí)方法�,專注于真正重要的事情。
如圖所示��,CSAF文件代表產(chǎn)品發(fā)布版本和修復(fù)的CVE以及其中包含的組件���,使消費(fèi)者可以保持其SBOM的最新狀態(tài)���。SBOM文件是靜態(tài)文檔,包含特定版本產(chǎn)品中的所有組件清單����。例如,RHEL 9.2版本將有一個(gè)相應(yīng)的SBOM�,列出了默認(rèn)情況下在該版本中提供的所有組件。任何在RHEL 9.2版本之后發(fā)布的安全公告都將更新特定軟件包���,并提供有關(guān)與9.2 GA版本提供的軟件包升級(jí)的信息��。
VEX文件為每個(gè)產(chǎn)品發(fā)布提供CVE的影響清單��。例如���,假設(shè)的CVE-2099-1000的VEX文件將包含關(guān)于RHEL 9.2版本是否受到此CVE漏洞的影響的信息��。
遺留數(shù)據(jù)格式會(huì)發(fā)生什么���?
隨著CSAF文件的推出,現(xiàn)有的CVRF文件被視為已棄用����,不再使用�����。CVRF文件將在2023年9月1日之前停止發(fā)布和更新����。此后,可用文件將被歸檔并放置在下面鏈接下��,該位置目前還不可訪問:
https://access.redhat.com/security/data/archive
從2023年1月起,紅帽正式宣布棄用OVAL和Data Stream(DS)v1文件�。
從2023年4月1日開始,新內(nèi)容將不再以O(shè)VAL和DS v1格式發(fā)布�����。在2023年7月1日���,所有OVAL v1和DS v1數(shù)據(jù)將被壓縮并移動(dòng)到存檔位置����。
https://access.redhat.com/security/data/archive/oval_v1_<date>.tar.gz
https://access.redhat.com/security/data/archive/ds_v1_<date>.tar.gz
紅帽將繼續(xù)支持OVAL v2內(nèi)容直至2024年底����。盡管OVAL數(shù)據(jù)格式可以用于安全掃描,但無法滿足容器化產(chǎn)品中非RPM內(nèi)容的所有新要求或表示產(chǎn)品和組件版本范圍的需求�。隨著安全行業(yè)的發(fā)展,新的數(shù)據(jù)格式更適合支持明確定義的安全數(shù)據(jù)的靈活和標(biāo)準(zhǔn)化交換����。因此,紅帽將停止支持OVAL v2��,并采用這些新的數(shù)據(jù)格式���。我們將在未來幾個(gè)月內(nèi)提供有關(guān)OVAL v2支持的確切終止日期的信息���。
自定義指標(biāo)數(shù)據(jù)文件的更改
紅帽為安全分析發(fā)布了各種指標(biāo)數(shù)據(jù)����。隨著新的安全數(shù)據(jù)格式的推出�����,我們將停止發(fā)布某些指標(biāo)數(shù)據(jù)���。這種棄用是必要的����,以提供準(zhǔn)確且更一致的數(shù)據(jù)��,適用于所有可用的數(shù)據(jù)格式��,例如CSAF-VEX文件�����。下面是完整的數(shù)據(jù)內(nèi)容的表格�,其中包含有關(guān)未來采取的行動(dòng)以及目標(biāo)生效日期的信息:
https://access.redhat.com/security/data/metrics/
重要提示:由于此文件被廣泛使用,為確保順利遷移�,該文件的副本將保留在“/data/metrics/”路徑下,直到2024年底�����。
與紅帽安全數(shù)據(jù)相關(guān)的其他即將變更的事項(xiàng)
我們還要通知您�����,從2024年1月開始���,www.redhat.com子域名將不再用于提供安全數(shù)據(jù)����。所有安全數(shù)據(jù)將在https://access.redhat.com/security/data路徑下提供�。
正如本文開頭提到的,我們的安全數(shù)據(jù)必須不斷發(fā)展����,以滿足新的行業(yè)標(biāo)準(zhǔn)和客戶需求。我們希望讓用戶更輕松地找到所有必要的安全數(shù)據(jù)����,以進(jìn)行準(zhǔn)確的風(fēng)險(xiǎn)評(píng)估���,從而可以采取必要的措施來緩解或修復(fù)其產(chǎn)品和服務(wù)中的漏洞。因此���,擁有準(zhǔn)確��、透明和詳細(xì)的安全數(shù)據(jù)至關(guān)重要��。
咨詢熱線:0791-87557233
贛公網(wǎng)安備 36010902000738號(hào)