安全團隊和軟件開發(fā)人員很容易被典型大型企業(yè)使用的數(shù)百個應(yīng)用程序中報告的無窮無盡的軟件漏洞所淹沒。但并非所有軟件漏洞都是平等的，需要立即關(guān)注。

了解哪些因素在未得到補救時會帶來明顯且存在的安全風(fēng)險，這對于保護軟件供應(yīng)鏈至關(guān)重要。這就是漏洞評分可以幫助確定緩解規(guī)劃和管理的優(yōu)先級的地方。

過濾安全漏洞的一種有效方法是使用通用漏洞評分系統(tǒng) （CVSS）。如果只需要關(guān)注最關(guān)鍵的漏洞，則 CVSS 是有助于指導(dǎo)修復(fù)策略的指標。

CVSS 由一個基本分數(shù)組成，該分數(shù)包含執(zhí)行攻擊所需的易用性、復(fù)雜性、用戶交互和特權(quán)級別。該分數(shù)還包括攻擊的影響，這是衡量攻擊如何損害CIA的指標 - 機密性，完整性和可用性。CVSS還包括一個時間分數(shù)，該分數(shù)表示漏洞的當前狀態(tài) - 是否存在漏洞利用以及補丁的狀態(tài)。這是一個綜合指標，考慮了許多因素。

CVSS 值的范圍從 1 到 10，分數(shù)在 9-10 之間是臨界值。關(guān)鍵漏洞是最容易利用的漏洞，不需要復(fù)雜的方法來觸發(fā)，并且對受攻擊的系統(tǒng)具有很高的影響和風(fēng)險。換句話說，這些是您需要立即修復(fù)的漏洞。

CVSS 不僅是評估商用現(xiàn)貨 （COTS） 應(yīng)用程序的好方法，也是組織構(gòu)建和銷售的軟件產(chǎn)品中使用的第三方和開源代碼。

除了對漏洞進行評分外，CVSS 還按類型以及這些漏洞在被利用時的危險程度對漏洞進行分類，如下所示：

遠程代碼執(zhí)行（RCE）：允許外部數(shù)據(jù)（例如用戶輸入）成為可執(zhí)行代碼。這可能是由于替換目標文件系統(tǒng)上的可執(zhí)行文件或?qū)е露褩Ｒ绯?，從而將堆棧幀替換為任意數(shù)據(jù)。利用這些漏洞是非常危險的，因為它們使攻擊者能夠在受攻擊的系統(tǒng)上運行任意代碼。

特權(quán)提升：使攻擊者能夠根據(jù)目標操作系統(tǒng)提升進程、根或管理員特權(quán)。通常，這些漏洞允許攻擊者在目標系統(tǒng)上執(zhí)行幾乎任何操作。

任意代碼執(zhí)行：與RCE類似，這些漏洞允許攻擊者執(zhí)行注入的代碼（如格式錯誤的文件），以強制系統(tǒng)執(zhí)行未經(jīng)授權(quán)的操作。

任意文件讀?。耗繕讼到y(tǒng)上的文件通常被隱藏并受到操作系統(tǒng)的良好保護。但是，這種類型的漏洞可能允許應(yīng)用程序?qū)⑽募到y(tǒng)暴露給攻擊者。例如，可以通過此類攻擊檢索客戶數(shù)據(jù)庫的全部內(nèi)容。

路徑遍歷：與任意文件讀取漏洞類似，路徑遍歷允許攻擊者從目標系統(tǒng)的其他部分讀取文件。這通常是通過格式錯誤的輸入來完成的，這些輸入最終被用于受攻擊的應(yīng)用程序生成的文件名中。

修復(fù)軟件供應(yīng)鏈漏洞

以下步驟與 CVSS 結(jié)合使用，有助于降低軟件供應(yīng)鏈中漏洞的風(fēng)險。

自滿是敵人：確保供應(yīng)鏈安全的最大問題是缺乏行動。組織需要將更高的優(yōu)先級放在保護他們使用的COTS和內(nèi)部開發(fā)的應(yīng)用程序上。

保持可見性：創(chuàng)建并向供應(yīng)商索取準確、詳細的軟件物料清單 （SBOM）。這是保護 IT 安全團隊、客戶和供應(yīng)商的軟件供應(yīng)鏈的重要工件。

針對更新進行設(shè)計：現(xiàn)代軟件開發(fā)的現(xiàn)實是，您無法假設(shè)您的軟件將使用多長時間，以及您的依賴項或您自己的代碼中存在哪些漏洞。因此，必須將包含開源、第三方和/或外包軟件的軟件和產(chǎn)品設(shè)計為可更新。當出現(xiàn)新的威脅或發(fā)現(xiàn)漏洞時，您的產(chǎn)品必須及時安全地進行更新。

安全軟件交付：正如我們在最近的攻擊中看到的那樣，維護用于安裝、修補和更新軟件的通道的安全性對于保護應(yīng)用程序免受損害至關(guān)重要。這包括驗證有效負載是否合法的功能。

CVSS提供了一個很好的工具，可以消除軟件供應(yīng)鏈中構(gòu)成最大風(fēng)險并需要立即關(guān)注的安全漏洞。但是，如果無法了解組織中是否存在這些漏洞以及存在這些漏洞的位置，安全團隊就會視而不見。這就是軟件組成分析發(fā)揮作用的地方。通過創(chuàng)建 SBOM，組織可以識別包含 CVSS 漏洞的開源組件和庫，并相應(yīng)地確定其風(fēng)險管理和補救活動的優(yōu)先級。

審核編輯：郭婷