據悉,思科公司已經改變了對自家產品內安全漏洞的披露形式。用于處理機器可讀之數據的API也許即將在短期內與我們見面。
思科公司以經過大幅改進的、易于閱讀的形式發布安全漏洞報告。
思科目前已經采取一種新的、據稱“經過強化與簡化”的自家產品內安全漏洞披露方式。這一新方案使用安全影響評級(即Security Impact Rating,簡稱SIR)分數來幫助大家了解當前所面臨安全漏洞的嚴重程度,同時配合CVE系統以及通用安全漏洞報告框架(簡稱CVRF),旨在以標準化且機器可讀之格式對漏洞進行描述。由于相關數據能夠為機器所直接讀取,因此這類報告將在思科正式發布相關API之后發揮巨大作用——根據思科的說法,該API“將在未來幾個月內推出”。
此外,根據思科做出的承諾,該API允許客戶“對思科信息及公告進行自主定義,從而滿足自身的特定需求。該API還允許客戶設定相關規則,從而實現客戶自有網絡的自動化評估。”總結來講,這很像是一種“塞入全部已有安全漏洞報告,結合網絡實際情況然后告訴用戶該怎么做”的傻瓜式解決方案,如果真能達到這樣的效果、我們應當為思科鼓掌喝彩。
而最近,思科公司已經為其安全漏洞通告采取了一種新的RSS推送方式,其以CVRF格式存在并能夠通過一款Python解析工具對內容進行讀取,從而最大程度發揮其實際作用。
相關API以及新型格式之所以陸續出現,是因為思科公司的產品安全事件響應小組(即Product Security Incident Response Team,簡稱PSIRT)“承認過去這方面工作的一致性水平較低,且表示其原先會根據漏洞的具體嚴重程度采用多種不同的安全問題通知方式。”
而到今天,所有安全漏洞都將得到相同的對待,即在網絡上發布明確的特性及危害介紹,并利用新的SIR機制對其加以評分,其具體分值及等級劃分如下:
|
安全影響評級 |
CVSS分數 |
|
高危 |
9.0 – 10.0 |
|
危險 |
7.0 – 8.9 |
|
中等 |
4.0 – 6.9 |
|
低等 |
3.9或以下 |
思科公司做出的這一系列變更顯然是對客戶反饋的響應。感興趣的朋友可以點擊此處查看關于這一新機制的官方描述(英文原文)。
京公網安備 11010502049343號