正文

CISA战略重点:CVE质量,打造网络安全未来

admin
admin V管理员 /0 评论 /53 阅读
1015
此篇文章发布距今已超过21天,您需要注意文章的内容或图片是否可用!

概述

在过去的十年中,常见漏洞和暴露(CVE)计划已成为漏洞识别的全球标准。这一时期代表了CVE计划的成长时代,其特点是成功招募了由460多个CVE编号机构 (CNA)组成的广泛全球网络。该网络促进了网络安全社区识别、定义和编目数十万个漏洞的能力呈指数级增长。随着CVE计划的发展以满足全球网络安全社区的需求,它必须过渡到一个主要关注信任、响应能力和漏洞数据质量的新时代。

CVE计划的质量时代注入活力

在网络安全和基础设施安全局(CISA),我们相信CVE计划是世界上最持久和最值得信赖的网络安全公共产品之一。必须致力于无冲突和供应商中立的管理、广泛的多部门参与、透明的流程和负责任的领导。国家安全和公共安全需要政府问责,汽车、航空、制药和医疗器械等其他关键安全领域就证明了这一点。鉴于支撑关键基础设施系统的软件无处不在,软件漏洞需要类似级别的问责制。

CVE计划私有化将稀释其作为公共产品的价值。软件行业的激励结构给私营企业带来了紧张关系,他们经常面临一个艰难的选择:通过漏洞披露提高下游用户的透明度,还是尽量减少漏洞披露以避免潜在的经济或声誉损害。这些内在冲突可能会对计划透明度以及通过公开识别和编目漏洞来继续标准化披露实践的能力产生不利影响。此外,尽管替代管理模式可能看起来很有吸引力,但它们可能缺乏稳定性,并且容易受到过度的财务压力或贡献驱动的影响。这些利益冲突加强了CISACVE计划的长期管理中发挥更积极作用的必要性。在CISA,作为美国联邦机构,我们拥有适当的任务、关系和能力,负责领导公共/私人合作伙伴关系计划、全球协调漏洞响应,并明确负责保护国家的关键基础设施免受网络威胁。

展望未来,CISA认为CVE计划必须保持一个核心原则:CVE数据必须保持免费并作为公共产品公开访问。这一原则支持协调网络防御,实现安全工具的创新,并为全球行业和政府的防御者提供支持。CVE计划管理必须反映这一点,并作为一项公共产品进行管理,并在全球范围内参与其治理。

当我们合作制定详细的路线图时,我们希望就CVE未来的优先事项提供我们的看法。这些优先事项取决于我们在CVE计划中的角色,以及从更广泛的社区收到的反馈。

伙伴关系很重要

过去几个月的对话为有关CVE计划的新关系、对话和宝贵反馈打开了大门。感谢我们的社区成员与我们互动,感谢你们为使该计划取得成功所做的一切。您对开源产品、集成、作为CNA的参与、对Vulnrichment的反馈、漏洞优先级框架的优化以及工作组的工作的支持至关重要。没有你,CVE就不会是今天的样子!

当我们展望CVE计划的未来时,CISA致力于与社区携手合作,以确保我们加强和改进CVE计划。

如果想就我们的愿景和努力方向提供反馈,或者目前不是CVE计划的一部分但有兴趣做出贡献,请发送电子邮件至Vulnerability@cisa.dhs.gov

CVE质量时代努力路线

扩大社区伙伴关系:CVE计划顾问委员会应该是生态系统的整体代表。CISA打算利用其合作伙伴关系来确保国际组织和政府、学术界、漏洞工具提供商、数据消费者、安全研究人员、运营技术行业和开源社区有更好的代表性。更加多元化和国际化的项目将产生宝贵的见解和创新。

政府赞助:作为一项重要的公共产品,CVE计划的基础设施和核心服务需要CISA的持续投资。社区中的许多人要求CISA考虑替代资金来源。随着CISA评估多元化资金的潜在机制,我们将向社区更新最新情况。

现代化:CVE基础设施现代化和增值服务开发必须加速,以满足规模化、运营性和全球计划的需求。CISA打算优先考虑更快速地实施自动化和其他功能,特别是改进CNA服务,将API支持扩展到下游数据消费者,并提高CVE.org

透明度和沟通:透明度是信任的核心。CISA致力于寻求社区反馈并将其纳入计划路线图决策,定期传达计划里程碑和绩效指标,并积极参与与全球合作伙伴的对话。

数据质量改进:CISA一直在跟踪为该计划做出贡献的CNA的完整性趋势。20258月,在过去六个月内发布CVE记录的所有CNA中,有79.9%CNA在其发布中包含CVSSCWE信息,比去年同期增加了9.4个百分点。这是实现更高最低标准和现代化方法以提高CVE记录质量的重要一步。CISA致力于与行业和国际政府合作,实施新的CVE记录质量最低标准,并开发联合机制来扩展扩充,例如Vulnrichment和授权数据发布者(ADP)功能。我们期待与社区合作,寻找创造性的方法来实现质量,改进CVE架构,并推进创新解决方案,将自动化、机器学习和人工智能引入产品组合。

最后手段CNALR)的改进:提高所有CVE记录的透明度、可见性、响应能力和数据丰富对于CVE计划完成其使命非常重要。在以CNA社区发展的形式促进CVE计划联合的同时,CISA还将优先考虑这些领域的改进,以适应CNA-LR在生态系统中发挥的独特作用。CISA将以身作则,通过提高透明度、沟通和对社区查询的响应标准来管理计划绩效。

— 欢迎关注


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网-ZhouSa.com