據(jù)悉,思科公司已經(jīng)改變了對(duì)自家產(chǎn)品內(nèi)安全漏洞的披露形式。用于處理機(jī)器可讀之?dāng)?shù)據(jù)的API也許即將在短期內(nèi)與我們見(jiàn)面。
思科公司以經(jīng)過(guò)大幅改進(jìn)的、易于閱讀的形式發(fā)布安全漏洞報(bào)告。
思科目前已經(jīng)采取一種新的、據(jù)稱(chēng)“經(jīng)過(guò)強(qiáng)化與簡(jiǎn)化”的自家產(chǎn)品內(nèi)安全漏洞披露方式。這一新方案使用安全影響評(píng)級(jí)(即Security Impact Rating,簡(jiǎn)稱(chēng)SIR)分?jǐn)?shù)來(lái)幫助大家了解當(dāng)前所面臨安全漏洞的嚴(yán)重程度,同時(shí)配合CVE系統(tǒng)以及通用安全漏洞報(bào)告框架(簡(jiǎn)稱(chēng)CVRF),旨在以標(biāo)準(zhǔn)化且機(jī)器可讀之格式對(duì)漏洞進(jìn)行描述。由于相關(guān)數(shù)據(jù)能夠?yàn)闄C(jī)器所直接讀取,因此這類(lèi)報(bào)告將在思科正式發(fā)布相關(guān)API之后發(fā)揮巨大作用——根據(jù)思科的說(shuō)法,該API“將在未來(lái)幾個(gè)月內(nèi)推出”。
此外,根據(jù)思科做出的承諾,該API允許客戶(hù)“對(duì)思科信息及公告進(jìn)行自主定義,從而滿(mǎn)足自身的特定需求。該API還允許客戶(hù)設(shè)定相關(guān)規(guī)則,從而實(shí)現(xiàn)客戶(hù)自有網(wǎng)絡(luò)的自動(dòng)化評(píng)估。”總結(jié)來(lái)講,這很像是一種“塞入全部已有安全漏洞報(bào)告,結(jié)合網(wǎng)絡(luò)實(shí)際情況然后告訴用戶(hù)該怎么做”的傻瓜式解決方案,如果真能達(dá)到這樣的效果、我們應(yīng)當(dāng)為思科鼓掌喝彩。
而最近,思科公司已經(jīng)為其安全漏洞通告采取了一種新的RSS推送方式,其以CVRF格式存在并能夠通過(guò)一款Python解析工具對(duì)內(nèi)容進(jìn)行讀取,從而最大程度發(fā)揮其實(shí)際作用。
相關(guān)API以及新型格式之所以陸續(xù)出現(xiàn),是因?yàn)樗伎乒镜漠a(chǎn)品安全事件響應(yīng)小組(即Product Security Incident Response Team,簡(jiǎn)稱(chēng)PSIRT)“承認(rèn)過(guò)去這方面工作的一致性水平較低,且表示其原先會(huì)根據(jù)漏洞的具體嚴(yán)重程度采用多種不同的安全問(wèn)題通知方式。”
而到今天,所有安全漏洞都將得到相同的對(duì)待,即在網(wǎng)絡(luò)上發(fā)布明確的特性及危害介紹,并利用新的SIR機(jī)制對(duì)其加以評(píng)分,其具體分值及等級(jí)劃分如下:
安全影響評(píng)級(jí) |
CVSS分?jǐn)?shù) |
高危 |
9.0 – 10.0 |
危險(xiǎn) |
7.0 – 8.9 |
中等 |
4.0 – 6.9 |
低等 |
3.9或以下 |
思科公司做出的這一系列變更顯然是對(duì)客戶(hù)反饋的響應(yīng)。感興趣的朋友可以點(diǎn)擊此處查看關(guān)于這一新機(jī)制的官方描述(英文原文)。