跳过导航
全球最大的博彩平台的数字
跳过mega-menu

快速链接

参与
我们做什么 十大正规博彩网站评级社区 我们的通讯 #MDTechCommunity Slack Channel 行业活动 赞助
支持
研究与见解 北方科技经济宣言 创业的支持 行业 搬迁 成员提供
项目
学徒制 数字她 启动激活 技能节 技能审计 培训

我们是谁

这个团队
董事会

全球最大的博彩平台

新闻

事件

目录

工作

十大正规博彩网站评级

项目

创业公司

学徒制

保持联系

的帖子
添加文章

该软件包是否包含漏洞?

#网络安全 #业务 #网络 #讨论 #网络安全

3年以上会员
查看配置文件
查看更多文章

在我们的 以前的文章, 我们概述了什么是软件物料清单(SBOM), 它是如何创建的, 以及创建和使用soms的好处. 这是我们的一部分 系列博客文章 全球最大的博彩平台 软件供应链的安全性. 

在这篇文章中, 我们来看看如何处理SBOM, 以及如何确定在它编目的代码中是否存在潜在的破坏性漏洞(安全缺陷). 

你已经 收到物料清单. 那么? 

您已经收到了一个SBOM和一个代码包, 或者您已经收到已在使用的产品的更新的SBOM. 对于正在使用(或计划使用)的代码组件,您现在拥有了比以前更多的信息。. 

理想情况下,您将希望检查该代码包是否存在漏洞. 新的漏洞一直在出现,所以这可能是一个持续的过程.

你可以手工做, 将SBOM中列出的组件与公开可用的漏洞列表(例如在 www.cve.org ). 这可能既耗时又困难, 所以你可能会自动做, using one of the many tools available; the SBOM is designed to be machine readable. 

通过这样做,您可能会发现存在多个漏洞. 其中大部分, 然而, 可能是不相关的:例如, 尽管在组件Y中存在一个已识别的漏洞(X), 正在考虑的代码包不受X的影响. 除非你非常熟悉代码的结构, 你不可能很快识别出哪些是不相关的, 哪些是有问题的,这可能是一项非常重要的任务. 

在这一点上,您可能认为所有的SBOM都在为您做更多的工作-但有一个前进的道路. 

脆弱性信息披露  

软件供应商可以向您提供有关其产品已知存在的漏洞的信息, 使用VDR, 还有那些已知不存在的, 使用烦恼: 

  • VDR(漏洞披露报告)是相关代码包中已知漏洞的列表,由软件供应商发布. 没有指定的格式, 但它应该列出漏洞, 全球最大的博彩平台它们的详细信息, 可能的影响—攻击者可能会做什么—以及建议采取的操作. 

  • 一个烦恼(漏洞利用交换), 由软件供应商提供, 是否旨在减少无关警报的数量, 因此,您可以快速识别并关注那些可能对您造成问题的漏洞.  

两者都有各自的位置,但今天我们将重点关注烦恼. 

什么是烦恼? 

其中SBOM是包中包含的内容的列表, 烦恼表示该包中哪些易受攻击的组件可能, 在实践中, 被攻击者利用.  

比如VDR, 它是由软件创建者发布的安全通知,描述其产品的漏洞状态. 不像VDR, 它是机器可读的, 为集成到安全管理工具和漏洞跟踪平台而构建, 并旨在通过澄清由SBOM确定的漏洞是否可能影响您的业务来支持更有效地使用SBOM. 

并不是包中的每个漏洞都可以被攻击者利用. 烦恼显示包中有哪些漏洞,更重要的是显示该漏洞的状态. 这包括该特定包中的每个漏洞是否可以被攻击者利用,从而是否对您的业务构成风险,并提供有关供应商正在采取的行动的信息, 和/或他们向你推荐的行动.  

从考虑中剔除误报, 烦恼有助于减少您的业务的漏洞管理工作负载,并有助于确定所需操作的优先级.  

什么是在一个 烦恼? 

软件供应商出具的烦恼应包含以下类型的信息:  

  • 适用于的产品名称和版本, 带有产品标识符, 这样你就能准确地知道哪个产品是相关的 

  • 漏洞标识符, 可能还有描述性信息, 因此,您可以找到有关每个漏洞的更多信息 

  • 列出的每个漏洞的状态:受影响/未受影响/正在调查/修补. 这样你就可以知道这个漏洞是否可以在产品中被利用, 或者一旦调查完成,是否期望从供应商那里获得更多信息 

  • 如果状态为“受影响”,则说明该漏洞的潜在缓解措施. 例如,建议升级,或者在哪里找到补丁. 

  • 如果状态为“不受影响”,则说明产品不受影响的原因. 这可能是, 例如, 因为易受攻击的代码不会被产品执行, 不能被攻击者触发, 或者已经有了缓解措施. 

  • 烦恼的时间戳. 

可能还包括其他信息,例如相关的SBOM详细信息. 

烦恼的意义是什么? 

软件和烦恼的示意图 描述自动生成烦恼的目的是加快识别代码中重用组件中的漏洞, 减少误报(从而减少工作量).   

它提供了可操作的信息来支持软件供应链风险的管理.   

如下图所示, SBOM可能会为您提供更多信息, 但你需要更多的信息,才能利用这些信息做一些有用的事情——这就是烦恼要提供的. 

SBOM + 烦恼一起提供了软件包中可利用漏洞的列表. 这意味着您可以评估每个业务漏洞的风险,并决定将采取什么行动来减轻每个风险. 

 

电脑的截图 描述自动生成 

 

是什么? SBOM / 烦恼的优点? 

实现SBOM和烦恼的明显好处是: 

  • 一般来说:全球最大的博彩平台软件组件的信息的标准化, 因此对软件的消费者来说也是透明的. 

  • 对于消费者:了解您正在使用的软件中有哪些可利用的漏洞, 因此你的生意会面临什么样的风险. 然后,您可以确定如何减轻它们. 

  • 对于开发人员:识别和减轻正在开发的代码中的漏洞的能力——提高产品的安全性. 

其他好处包括: 

  • 更快的事件响应(因为您对漏洞有更多的了解) 

  • 改进的漏洞管理/补丁分类(因为您可以采用基于风险的方法) 

  • 为对你的业务进行尽职调查的利益相关者提供证据(因为你有更多的信息) 

  • 改善客户服务 

  • 更好地完成软件许可证的追踪和核实 

  • 并且可能减少所需的渗透测试(或者至少, 测试的微调),因为您将对代码中的漏洞有更多的了解.  

在本系列中, 我们已经讨论了soms和烦恼,以解释它们是什么以及它们在支持您的业务安全方面的目的:  

如果你想了解更多信息, 或讨论CSP如何帮助您确保供应链的安全,或任何其他令您担忧的网络安全问题,请全球最大的博彩平台 0113 5323763 或者通过 webform.

相关的帖子

添加文章 查看所有
由Bring Digital发布
Bring Digital将电子商务巨头Studio Retail添加到他们的客户名单中
全球最大的博彩平台数字发布
商业机会
由Datum数据中心发布
全球最大的博彩平台数据中心宣布成为伦敦互联网交换中心(LINX)的PoP(存在点)
由UKFast发布
UKFast任命首席营销官为高管
由Shoosmiths LLP发布
你准备好做生意了吗? 创业公司的雇佣法基础-第1部分
由Skylab发布
Skylab被命名为WordPress VIP银色代理合作伙伴
由Datum数据中心发布
调查显示企业不知道他们的云数据在哪里
由Datacentreplus发布
为什么全球最大的博彩平台是一个做生意的好地方
由Datum数据中心发布
全球最大的博彩平台数据中心投资12.5万英镑用于先进安全技术
由unhook Communications发布
行业领袖齐聚一堂,支持朝鲜的媒体女性

十大正规博彩网站评级

在这里注册