Zabbix有一个非常棒的消息与大家分享,Zabbix已经通过 CNA 准入程序,成为 CVE 编号分发机构,拥有为Zabbix产品安全漏洞颁发CVE编号的资格——这意味着Zabbix具有成熟的漏洞管理实践,更是给予用户一个安全承诺。
01 - 关于CVE
CVE 是通用漏洞披露(Common Vulnerabilities and Exposures)的英文缩写,列出了已公开披露的各种计算机安全漏洞。通常我们谈到的 CVE 指的是分配给每个安全漏洞的 CVE ID 编号。
CVE 的作用是可以帮助 IT 专业人员协调自己的工作,轻松地确定漏洞的优先级并加以处理,从而提高计算机系统的安全性。
(源自Red Hat https://www.redhat.com/zh/topics/security/what-is-cve)
2020年上半年业界共提交了9000个漏洞,报告预测2020年的漏洞总数有望翻倍。如果没有基于风险的自动补丁程序管理系统,企业将难以缓解如此之多的问题,很容易受到攻击。CVE目前已经是信息安全界内有关漏洞的标准,安全研究人员也把自己发现的漏洞能够具备CVE-ID编号为荣。
02 - 什么是CNA ?
CNA(CVE Numbering Authority)是 CVE 编号的分发机构,成员包括供应商、开源项目社区、漏洞研究人员、国家计算机安全应急响应组等,主要职能是在授权范围内分发和管理 CVE 编号。
CNA必须是具有显著的用户基础和建立了安全咨询能力的主要的软件厂商,并且建立了通常作为研究人员和厂商之间的一个第三方的中立的接口。它必须拥有一个在CVE编委会中从事技术工作的成员。
CANs成员介绍
目前CNA有来自 21 个国家的 129 个组织成员,包括 Apache、Eclipse Foundation、Google、Kubernetes、PHP Group 等,国内成员包括 Alibaba、Huawei、Lenovo、OPPO、Qihoo 360、Vivo、Xiaomi 与 ZTE 等。
目前这些公司可以说完全掌握着进入CVE大门的钥匙,要拿到CVE-ID,就必须获得他们的认可。
Zabbix一直以确保为其客户、用户和合作伙伴提供最佳的安全体验为目标。因此,我们非常高兴地宣布,Zabbix现在是CNA的成员,也拥有为Zabbix产品安全漏洞分配CVE编号的资格!
Zabbix将本次加入CVE视为加强软件本身的能力和加强我们控制漏洞信息泄露能力的关键!
03 -Zabbix用户和客户如何受益?
Zabbix是开源软件的维护者,加入CVE项目,成为CVE 编号管理机构(CNA)之一,使用 CVE ID 来跟踪安全漏洞,让我们的用户使用产品时更有安全性保障。
这也是我们对现有和潜在客户的网络安全承诺。成为CNA之后我们也将能为客户提供官方的、经CVE编号的漏洞信息。
这进一步完善了Zabbix的产品安全策略,让我们可以更好更及时的应对可能出现的漏洞风险。
04 - 如何处理 CVE
(源自Red Hat https://www.redhat.com/zh/topics/security/what-is-cve)
- 了解自己的部署情况。
存在 CVE 并不意味着您的特定环境和部署正面临风险。请务必查看各个 CVE,并验证 CVE 是否适用于(或部分适用于)您的特有环境中所用的操作系统、应用、模块和配置,确定 CVE 是否适用于您的环境。
- 开展漏洞管理。
漏洞管理是一个可重复的过程,用于识别、分类、确定优先级、补救和解决漏洞。您要清楚自己的组织会如何遭遇风险,才能正确地为有待解决的所有重要漏洞确定优先级。
- 做好沟通工作。
CVE 将会影响到您所在组织使用的系统,不仅漏洞本身,还因为修复漏洞可能会需要停机。您应及时与您的内部客户进行沟通和协调,并将漏洞的相关信息分享给您所在组织中的任意中央风险管理职能部门。