漏洞管理(VM)是全生命周期管理中較難落實(shí)的一項(xiàng)工作，但它的重要性卻毋庸置疑。在漏洞管理的過程中，我們可能會遇到一些專業(yè)術(shù)語，如果沒能提前了解，將會給工作帶來不便。接下來武漢佰鈞成就針對漏洞管理領(lǐng)域的一些基礎(chǔ)知識和術(shù)語進(jìn)行簡單介紹，幫助大家盡快熟悉這個(gè)領(lǐng)域。

　　武漢佰鈞成科普課堂——通用漏洞評分系統(tǒng)

　　CVSS通用漏洞評分系統(tǒng)，其旨在評估安全漏洞的嚴(yán)重性，是全球各組織使用的公開標(biāo)準(zhǔn)。CVE就是其系統(tǒng)中管理這些漏洞，給每個(gè)漏洞分配一個(gè)唯一的漏洞標(biāo)記或編號。

　　CVE，國際通用漏洞編號，業(yè)界普遍采用的漏洞編號方法。每個(gè)編號都包含一個(gè)已知的網(wǎng)絡(luò)安全漏洞。如CVE-2020-15778 OpenSSH命令注入漏洞，CVE-2019-1367遠(yuǎn)程代碼執(zhí)行漏洞，CVE-2019-16905XMSS Key 解析整數(shù)溢出漏洞等。

　　CVE格式比較簡單，一般分為CVE-[年份]-[漏洞編號]，編號長度多為4位or5位數(shù)字。CVE在當(dāng)前僅由CNA (CVE Numbering Authority)編碼授權(quán)機(jī)構(gòu)進(jìn)行管理。

　　此外，還有一些基礎(chǔ)知識和術(shù)語在漏洞管理工作中可能會用到，如PSIRT——產(chǎn)品安全與應(yīng)急響應(yīng)團(tuán)隊(duì)，這是內(nèi)外部產(chǎn)品漏洞的入口，管理公司漏洞庫;SN——安全公告，在發(fā)現(xiàn)高關(guān)注度的漏洞/事件后，對外快速響應(yīng)的公告說明;SA——安全預(yù)警，發(fā)布漏洞的技術(shù)解決方案時(shí)，針對產(chǎn)品漏洞發(fā)布的安全預(yù)警;SLO——服務(wù)等級目標(biāo)，多為內(nèi)部使用，很少用于外部承諾。

　　武漢佰鈞成科普課堂——漏洞管理舉例

　　我們從漏洞研發(fā)者的角度將整個(gè)漏洞申報(bào)環(huán)節(jié)做一個(gè)展開，簡略為如下圖：

　　以CVE-2019-6198為例，研發(fā)者在經(jīng)歷過對電腦管家的軟件漏洞挖掘后，發(fā)現(xiàn)其存在dll劫持漏洞的可能。在挖掘漏洞后開始對漏洞報(bào)告進(jìn)行詳細(xì)地撰寫，編寫的漏洞報(bào)告將成為與CVE官方和CNA廠商的重要溝通橋梁，其報(bào)告的越是詳盡，越是能讓廠商能快速復(fù)現(xiàn)漏洞和驗(yàn)證。(與研發(fā)者溝通和對漏洞驗(yàn)證的組織，一般為上文提到的廠商PSIRT團(tuán)隊(duì))。一旦廠商完成對漏洞的確認(rèn)，廠商會訴求研發(fā)者盡快提供Poc以及編譯文件，再一輪溝通后，廠商正式申請CVE并答復(fù)研發(fā)者，廠商內(nèi)部進(jìn)入到產(chǎn)品漏洞管理管道。為漏洞公告進(jìn)行部署，如下圖所示：

　　在產(chǎn)品域完成充分評估后，廠商會公告其漏洞并對研發(fā)者進(jìn)行致謝。至此，一個(gè)漏洞從挖掘到廠商公告披露的流程全部完成。

　　經(jīng)武漢佰鈞成總結(jié)，以上術(shù)語及基礎(chǔ)知識都是在漏洞管理過程中使用頻率較高的內(nèi)容，亦會貫徹漏洞管理的始終。業(yè)界廠商各自的漏洞管理方案雖然不完全相同，但基本邏輯是一致的，都是依照上述階段出發(fā)，根據(jù)自己公司的實(shí)際情況進(jìn)行改善。了解基本內(nèi)容之后，對適應(yīng)多種漏洞管理體系都大有幫助。