紅帽安全數據����是關于已發布、已知漏洞的紅帽產品的核心數據來源。這些數據中的準確信息可幫助客戶進行風險評估,為漏洞管理計劃提供正確的指引,并進一步協助漏洞修補的優先級排序。我們不斷通過添加更多信息到現有數據、引入新的數據格式以及與其他供應商(包括安全掃描器供應商)就安全數據交換的一般方法進行合作,來不斷改進我們的安全數據。
�����隨著每天發布的新軟件缺陷、漏洞(特指CVE ID)和利用程序,漏洞信息幾乎立即向所有人公開,包括客戶和潛在攻擊者。根據各種風險報告,包括最近發布的2022紅帽產品安全風險報告,從2021年到2022年,具有指定CVE ID的漏洞數量增長了25%。考慮到這些數字,顯然,“修復一切”方法是不現實的,主要是因為只有略高于4%的已發布漏洞對組織構成了實際風險。
那么,如何進行漏洞管理才是最佳實踐呢?首先,需要對軟件漏洞和如何正確評估實際風險有充分的了解。為了進行準確的風險評估,使用來自供應商的可靠的安全數據源是至關重要的。閱讀“從容應對軟件漏洞:如何正確解讀CVE和CVSS?”博文,了解更多信息。
�������多年來,紅帽一直通過OVAL和CVRF數據格式提供有關其產品的安全信息。然而,就像其他領域一樣,安全數據領域也在不斷變化,需要進行調整和改進以滿足新的行業標準和客戶要求。
CSAF-VEX
������2022年6月,紅帽開始以測試版形式使用新的CSAF格式發布安全公告。2023年2月,我們正式宣布CSAF格式已成為紅帽安全公告的官方格式,取代了舊的CVRF格式。所有發布的安全公告都會在該路徑下公開發布:
https������://access.redhat.com/security/data/csaf/v2/advisories/
������CSAF文件的正式版本使用VEX配置文件來表示特定產品版本中哪些組件已經修補以解決特定CVE,以及哪些組件不受該CVE影響。雖然我們包含了有關未受影響組件的信息,但它僅與至少在一個組件中修復的CVE有關,不包括有關所有其他受影響CVE的信息。
����為了進一步改進紅帽安全數據,我們的下一步是為每個獨立的CVE發布單獨的VEX文件,以涵蓋整個VEX配置文件定義的所有產品狀態。這樣做將提高我們的安全數據的精度和可靠性,使客戶更容易理解他們的產品是否受到特定漏洞的影響。
-
-
- 已知不受影響:確認特定產品和組件不受特定CVE影響
- 正在調查:紅帽產品安全團隊正在驗證特定CVE對特定產品和組件的適用性(以及其影響)的信息
�����在CSAF格式中,VEX配置文件的主要目的是讓供應商聲明特定漏洞是否影響其產品以及如果受影響,修復狀態是什么。������CSAF公告覆蓋了特定產品發布中已修復和已知不受影響的組件,而VEX文件則為所有紅帽產品中與特定CVE相關的組件提供了完整的適用性狀態(通過上述四種狀態進行通信)。因此,CSAF和VEX文件之間的關鍵區別在于,CSAF僅覆蓋了特定產品發布的兩種狀態(已修復和未受影響),而VEX文件為每個CVE的所有產品提供了所有狀態的覆蓋。VEX文件將在一個單獨的URL路徑下發布。�������紅帽還開始發布核心Red Hat產品的SBOM(軟件清單)文件。SBOM是一個機器可讀的清單,包含軟件組件和依賴項,以及許可證和來源信息。這種綜合清單有助于建立采購審查和審核的軟件應用/庫集中所包含內容的清單。與VEX一起,它有助于組織應對其漏洞風險評估過程。這些文件共同提供了有關潛在風險的信息,例如包含漏洞的工件所在的位置,以及這個工件與組件或產品的相關性,并且它們的當前狀態以防已知漏洞或攻擊。������目前,SBOM文檔的內容和分發方式在行業內仍存在許多討論。不同類型的SBOM和分發方法已經提出。紅帽正與其他供應商合作,努力定義發布有用的SBOM所需的具體要求,并向消費者和合作伙伴介紹如何使用這些數據。Red Hat發布的SBOM文件目前處于測試版,可供客戶測試,可在下面鏈接上獲取://access.redhat.com/security/data/sbom/beta/spdx/
�������SBOM文件有助于確定可能受影響的組件的位置,而VEX文件則有助于客戶確定自己是否受到特定漏洞的影響。VEX文件提供必要的信息進行風險評估,例如Red Hat的嚴重性評級、CVSS指標或CSAF公告等風險元數據,從而使客戶能夠制定更有效的修補優先級方法,專注于真正重要的事情。
�����如圖所示,CSAF文件代表產品發布版本和修復的CVE以及其中包含的組件,使消費者可以保持其SBOM的最新狀態。SBOM文件是靜態文檔,包含特定版本產品中的所有組件清單。例如,RHEL 9.2版本將有一個相應的SBOM,列出了默認情況下在該版本中提供的所有組件。任何在RHEL 9.2版本之后發布的安全公告都將更新特定軟件包,并提供有關與9.2 GA版本提供的軟件包升級的信息。
�������VEX文件為每個產品發布提供CVE的影響清單。例如,假設的CVE-2099-1000的VEX文件將包含關于RHEL 9.2版本是否受到此CVE漏洞的影響的信息。
�������隨著CSAF文件的推出,現有的CVRF文件被視為已棄用,不再使用。CVRF文件將在2023年9月1日之前停止發布和更新。此后,可用文件將被歸檔并放置在下面鏈接下,該位置目前還不可訪問:
//access.redhat.com/security/data/archive
從2023年1月起,紅帽正式宣布棄用OVAL和Data Stream(DS)v1文件。
���從2023年4月1日開始,新內容將不再以OVAL和DS v1格式發布。在2023年7月1日,所有OVAL v1和DS v1數據將被壓縮并移動到存檔位置。
��������//access.redhat.com/security/data/archive/oval_v1_<date>.tar.gz
��������//access.redhat.com/security/data/archive/ds_v1_<date>.tar.gz
�����紅帽將繼續支持OVAL v2內容直至2024年底。盡管OVAL數據格式可以用于安全掃描,但無法滿足容器化產品中非RPM內容的所有新要求或表示產品和組件版本范圍的需求。隨著安全行業的發展,新的數據格式更適合支持明確定義的安全數據的靈活和標準化交換。因此,紅帽將停止支持OVAL v2,并采用這些新的數據格式。我們將在未來幾個月內提供有關OVAL v2支持的確切終止日期的信息。
���紅帽為安全分析發布了各種指標數據。隨著新的安全數據格式的推出,我們將停止發布某些指標數據。這種棄用是必要的,以提供準確且更一致的數據,適用于所有可用的數據格式,例如CSAF-VEX文件。下面是完整的數據內容的表格,其中包含有關未來采取的行動以及目標生效日期的信息:
//access.redhat.com/security/data/metrics/
重要提示:������由于此文件被廣泛使用,為確保順利遷移,該文件的副本將保留在“/data/metrics/”路徑下,直到2024年底。
������我們還要通知您,從2024年1月開始,www.redhat.com子域名將不再用于提供安全數據。所有安全數據將在//access.redhat.com/security/data路徑下提供。
�������正如本文開頭提到的,我們的安全數據必須不斷發展,以滿足新的行業標準和客戶需求。我們希望讓用戶更輕松地找到所有必要的安全數據,以進行準確的風險評估,從而可以采取必要的措施來緩解或修復其產品和服務中的漏洞。因此,擁有準確、透明和詳細的安全數據至關重要。
咨詢熱線:
