2019年超过55%的开源漏洞被评为高或严重,但不要被这个数字吓到,要真正了解漏洞及其对企业或产品的威胁等级,我们需要信息的绝不只是一个冷冰冰的CVSS评分。 根据WhiteSource的《开源安全漏洞现状报告》,软件开发行业对开源组件越来越依赖,对开放源代码安全漏洞的关注度也不断提升,导致发现的开放源代码漏洞数量也逐年增加,2019年开源软件漏洞的数量呈现爆发式增长(下图)。 面对代码库中不断增多的开源漏洞,软件开发企业如何才能跟上长长的安全警报清单,确保他们能够优先修复最紧急的问题? 安全警报的优先级已成为漏洞管理的重要组成部分,许多企业都将CVSS(通用漏洞评分系统)评分作为确定其开源安全漏洞优先级的客观标准。但是,WhiteSource研究报告中的数据表明,仅依靠CVSS等级进行优先级排序对企业帮助不大。 自2005年以来,FIRST(事件响应和安全团队论坛)创建的CVSS已成为评估漏洞严重性的事实标准。在CVSS中,研究人员检查漏洞的属性、时间、影响和环境指标,以了解漏洞利用的难度以及漏洞被攻击者成功利用后可能造成的破坏程度。 多年来,随着安全社区致力于改进评分系统,CVSS不断发展和更新版本,添加了新参数,例如于2015年发布的CVSS v3增加了“范围和用户交互”指标,这些信息比CVSS v2中提供的信息更详细。在CVSS v2中,漏洞评分是基于该漏洞对主平台的总体影响,而在CVSS v3中,漏洞评分是基于对特定组件的影响。而最新发布的CVSS v3.1则旨在“明晰和改进现有标准”。 但是,虽然v3为帮助企业更好地判定漏洞的严重性提供了更细粒度的信息,但企业也应该意识到,迁移到V3.1新标准会对评分产生重大变化。 WhiteSource的研究报告分析了2016年至2019年间报告的10000多个开源漏洞的CVSS评分,以比较由CVSS v2,v3.0和v3.1三个版本的漏洞严重程度评分的变化(下图)。 资料来源:WhiteSource 数据显示,v3.0和v3.1分数明显高于v2分数。例如,在v2下一个CVSS评分7.6的漏洞在v3.x标准下的评分可高达9.8分。 将v2.0评级标准与v3.0评级标准进行比较,可以部分解释这一巨大变化: |
|