面临困境的漏洞管理生态系统

发布于 作者:

面临困境的漏洞管理生态系统

591zll SecLink安全空间 2025-05-01 02:18

全文共计约1950字,预计阅读10分钟

近日,漏洞管理生态系统遭遇惊人消息:被行业广泛采用的漏洞标准——CVE(通用漏洞披露)
CWE(通用缺陷枚举)
项目突遭断资,面临关停风险。这引发了该生态上下游24小时的恐慌,直至网络安全和基础设施安全局(CISA)出面延续项目赞助,才维持其本年度
运营。但一周后的今天,事件真相与后续方向仍不明朗。

若新发现的漏洞无法获得CVE标识,将会从源代码层面对企业的运营引发连锁反应

1.企业漏洞管理程序的底层工具将无法识别软件面临的新型攻击;

2.开发人员、研究人员与下游服务提供商因缺乏对问题的共识而难以协调;

3.漏洞标识项目在未来几个月存在的不确定性同样困扰着开发者与下游用户。

在发现、修复和披露漏洞时,拥有可靠的信息源是至关重要的。

CVE与CWE

首先,让我们解释下CVE
CWE
的概念:

CVE(原”通用漏洞与暴露”)
历经25年发展,已成为全行业通用的漏洞标识符,确保各方对漏洞情况的认知保持一致性。若这一共识链条被打破,沟通协作将陷入混乱。当漏洞描述中的术语因项目或厂商而异时,我们便无法基于共同认知开展联合行动。这套通用语言体系极大加速了漏洞修复与协同响应速度。虽非完美,但通过社区专家努力,其流程已变得更开源友好、更普惠全球。

CWE作为同等重要的标识体系,记录CVE对应漏洞的根本成因
——CVE描述”问题现象
“,CWE揭示”内在原因
“。虽使用频率较低,但CWE分析能帮助组织与研究机构追溯代码缺陷、聚焦高频风险,并制定流程改进方案以防止同类错误再现。CWE与CVE同属一个资助体系,因此面临着相同的资金危机。

资金不稳定的影响

除了资金摇摆,各国政府近期也推动建立针对本国人员的国家级漏洞数据库
,加剧了数据碎片化趋势,使用户更难以确认自身是否暴露于漏洞威胁之中。

这种漏洞信息的割裂会使软硬件用户陷入混乱,阻碍学术界与漏洞挖掘者开展系统化安全研究,拖慢漏洞信息公开后的防守方的响应速度。

开源社区的立场

这些举措与自由开源社区理念背道而驰。开源社区深知协作的力量——虽然多数情况下并无强制参与义务,但上游开源项目、维护者、社区、基金会及新兴的”开源软件管理者”群体都认同漏洞信息透明传递的价值
。拥有通用漏洞标识体系对指导社区和下游用户及时响应漏洞修复至关重要。

如今,开发人员会在其支持和漏洞管理流程中分配通用漏洞披露(CVE)标识符。部分开发人员可能已采取措施成为CVE编号机构(CNA)
,以便对公开披露的漏洞拥有控制权
。其他开发人员可能依赖上游CVE提供商,例如GitHub(对于存储在其代码库中的任何代码而言,GitHub是默认的CNA),或者依赖根CNA或最后诉诸的CNA(如红帽公司)。

通用弱点枚举(CWE)通常是上游开发者不太了解或不常接触的内容,但对于长期研究以及理解常见的编码错误却极为重要。像开放通用需求枚举(OpenCRE)
这类方法论,能助力开发者依据安全标准和指南,将基于电子文档的需求整合到一个以CWE为基础的统一资源中,实现需求层面的融合。这有助于项目在编写软件的过程中避免常见的编码错误,而不是在发布周期结束时才借助扫描工具亡羊补牢。

CVE和CWE为研究人员提供了有力支持,并帮助安全扫描器识别这些安全弱点。理想情况下,如果将其与项目的软件开发生命周期(SDLC)
实践以及持续集成/持续交付管道(CI/CD Pipeline)
相集成,就能在安全问题演变成重大隐患之前将其拦截。

虽然开源社区行事和思考的方式并不完全相同,所服务的社区和满足的需求也各有差异。然而,开源社区都珍视某些核心价值观
,这些价值观通常可在此处定义:
1. 从根本上来说,所有上游开发者都希望能有一种简单、高效且对开发者友好
的方式,来记录并分享有关我们上游代码中发现的漏洞信息,以便告知下游开发者和更广泛的生态系统。同时,开源社区也厌恶重复工作和低效流程,所以任何解决方案都必须遵循“一次在上游完成,多次在下游复用”
的原则。

  1. 愿协作解决,但上游开发者通常并非是下游使用者的员工。若下游使用者对该信息重视,必须主动协助上游开发者实施变更

  2. 任何解决方案都必须尊重
    上游社区在工具和流程方面的多样性,并且能够轻松融入开发者的工作流程,这样才能得到有效采用。

  3. 任何公开的漏洞信息都不属于特定的地理区域或司法管辖区,必须在全球范围内免费公开

像OWASP(开放式Web应用程序安全项目)、OpenSSF(开源安全基金会)以及上游开源安全社区的成员群体,正在承诺参与一项解决方案,以支持和稳定生态系统
,并为所有软件使用者提供清晰、准确的信息,其中包括某种形式的通用标识符,用于在漏洞被发现、报告和修复的过程中进行跟踪。

在CVE相关事件发生之前,针对这一确切问题就已经开展了相当长时间的工作。包括Apache基金会、Eclipse基金会、Linux基金会/OpenSSF、OWASP基金会以及众多其他基金会和社区成员在内的上游各方领导者,已经在探索作为一个统一的社区,如何才能最好地为开发者以及下游用户提供服务。

开源社区正携手合作,共同探讨如何以开源的方式解决这些问题。以自由开放的方式维护数据,从而让所有人受益。

请关注SecLink安全空间
获取我们最新的更新

欢迎加入SecLink安全空间
企业微信
探讨安全问题!