思科改革安全問(wèn)題披露方式 稱(chēng)用戶(hù)可對(duì)其信息自定義

責(zé)任編輯:editor005

作者:李超編譯

2015-10-08 15:43:48

摘自:ZD至頂網(wǎng)

據(jù)悉,思科公司已經(jīng)改變了對(duì)自家產(chǎn)品內(nèi)安全漏洞的披露形式。思科公司以經(jīng)過(guò)大幅改進(jìn)的、易于閱讀的形式發(fā)布安全漏洞報(bào)告。思科目前已經(jīng)采取一種新的、據(jù)稱(chēng)“經(jīng)過(guò)強(qiáng)化與簡(jiǎn)化”的自家產(chǎn)品內(nèi)安全漏洞披露方式。

據(jù)悉,思科公司已經(jīng)改變了對(duì)自家產(chǎn)品內(nèi)安全漏洞的披露形式。用于處理機(jī)器可讀之?dāng)?shù)據(jù)的API也許即將在短期內(nèi)與我們見(jiàn)面。

思科公司對(duì)自家產(chǎn)品內(nèi)安全問(wèn)題的披露方式加以改革

思科公司以經(jīng)過(guò)大幅改進(jìn)的、易于閱讀的形式發(fā)布安全漏洞報(bào)告。

思科目前已經(jīng)采取一種新的、據(jù)稱(chēng)“經(jīng)過(guò)強(qiáng)化與簡(jiǎn)化”的自家產(chǎn)品內(nèi)安全漏洞披露方式。這一新方案使用安全影響評(píng)級(jí)(即Security Impact Rating,簡(jiǎn)稱(chēng)SIR)分?jǐn)?shù)來(lái)幫助大家了解當(dāng)前所面臨安全漏洞的嚴(yán)重程度,同時(shí)配合CVE系統(tǒng)以及通用安全漏洞報(bào)告框架(簡(jiǎn)稱(chēng)CVRF),旨在以標(biāo)準(zhǔn)化且機(jī)器可讀之格式對(duì)漏洞進(jìn)行描述。由于相關(guān)數(shù)據(jù)能夠?yàn)闄C(jī)器所直接讀取,因此這類(lèi)報(bào)告將在思科正式發(fā)布相關(guān)API之后發(fā)揮巨大作用——根據(jù)思科的說(shuō)法,該API“將在未來(lái)幾個(gè)月內(nèi)推出”。

此外,根據(jù)思科做出的承諾,該API允許客戶(hù)“對(duì)思科信息及公告進(jìn)行自主定義,從而滿(mǎn)足自身的特定需求。該API還允許客戶(hù)設(shè)定相關(guān)規(guī)則,從而實(shí)現(xiàn)客戶(hù)自有網(wǎng)絡(luò)的自動(dòng)化評(píng)估。”總結(jié)來(lái)講,這很像是一種“塞入全部已有安全漏洞報(bào)告,結(jié)合網(wǎng)絡(luò)實(shí)際情況然后告訴用戶(hù)該怎么做”的傻瓜式解決方案,如果真能達(dá)到這樣的效果、我們應(yīng)當(dāng)為思科鼓掌喝彩。

而最近,思科公司已經(jīng)為其安全漏洞通告采取了一種新的RSS推送方式,其以CVRF格式存在并能夠通過(guò)一款Python解析工具對(duì)內(nèi)容進(jìn)行讀取,從而最大程度發(fā)揮其實(shí)際作用。

相關(guān)API以及新型格式之所以陸續(xù)出現(xiàn),是因?yàn)樗伎乒镜漠a(chǎn)品安全事件響應(yīng)小組(即Product Security Incident Response Team,簡(jiǎn)稱(chēng)PSIRT)“承認(rèn)過(guò)去這方面工作的一致性水平較低,且表示其原先會(huì)根據(jù)漏洞的具體嚴(yán)重程度采用多種不同的安全問(wèn)題通知方式。”

而到今天,所有安全漏洞都將得到相同的對(duì)待,即在網(wǎng)絡(luò)上發(fā)布明確的特性及危害介紹,并利用新的SIR機(jī)制對(duì)其加以評(píng)分,其具體分值及等級(jí)劃分如下:

安全影響評(píng)級(jí)

CVSS分?jǐn)?shù)

高危

9.0 – 10.0

危險(xiǎn)

7.0 – 8.9

中等

4.0 – 6.9

低等

3.9或以下

思科公司做出的這一系列變更顯然是對(duì)客戶(hù)反饋的響應(yīng)。感興趣的朋友可以點(diǎn)擊此處查看關(guān)于這一新機(jī)制的官方描述(英文原文)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)