红帽安全数据是关于已发布、已知漏洞的红帽产品的核心数据来源。这些数据中的准确信息可帮助客户进行风险评估,为漏洞管理计划提供正确的指引,并进一步协助漏洞修补的优先级排序。我们不断通过添加更多信息到现有数据、引入新的数据格式以及与其他供应商(包括安全扫描器供应商)就安全数据交换的一般方法进行合作,来不断改进我们的安全数据。
随着每天发布的新软件缺陷、漏洞(特指CVE ID)和利用程序,漏洞信息几乎立即向所有人公开,包括客户和潜在攻击者。根据各种风险报告,包括最近发布的2022红帽产品安全风险报告,从2021年到2022年,具有指定CVE ID的漏洞数量增长了25%。考虑到这些数字,显然,“修复一切”方法是不现实的,主要是因为只有略高于4%的已发布漏洞对组织构成了实际风险。
那么,如何进行漏洞管理才是最佳实践呢?首先,需要对软件漏洞和如何正确评估实际风险有充分的了解。为了进行准确的风险评估,使用来自供应商的可靠的安全数据源是至关重要的。阅读“从容应对软件漏洞:如何正确解读CVE和CVSS?”博文,了解更多信息。
多年来,红帽一直通过OVAL和CVRF数据格式提供有关其产品的安全信息。然而,就像其他领域一样,安全数据领域也在不断变化,需要进行调整和改进以满足新的行业标准和客户要求。
CSAF-VEX
2022年6月,红帽开始以测试版形式使用新的CSAF格式发布安全公告。2023年2月,我们正式宣布CSAF格式已成为红帽安全公告的官方格式,取代了旧的CVRF格式。所有发布的安全公告都会在该路径下公开发布:
https://access.redhat.com/security/data/csaf/v2/advisories/
CSAF文件的正式版本使用VEX配置文件来表示特定产品版本中哪些组件已经修补以解决特定CVE,以及哪些组件不受该CVE影响。虽然我们包含了有关未受影响组件的信息,但它仅与至少在一个组件中修复的CVE有关,不包括有关所有其他受影响CVE的信息。
为了进一步改进红帽安全数据,我们的下一步是为每个独立的CVE发布单独的VEX文件,以涵盖整个VEX配置文件定义的所有产品状态。这样做将提高我们的安全数据的精度和可靠性,使客户更容易理解他们的产品是否受到特定漏洞的影响。
SBOM文件有助于确定可能受影响的组件的位置,而VEX文件则有助于客户确定自己是否受到特定漏洞的影响。VEX文件提供必要的信息进行风险评估,例如Red Hat的严重性评级、CVSS指标或CSAF公告等风险元数据,从而使客户能够制定更有效的修补优先级方法,专注于真正重要的事情。
如图所示,CSAF文件代表产品发布版本和修复的CVE以及其中包含的组件,使消费者可以保持其SBOM的最新状态。SBOM文件是静态文档,包含特定版本产品中的所有组件清单。例如,RHEL 9.2版本将有一个相应的SBOM,列出了默认情况下在该版本中提供的所有组件。任何在RHEL 9.2版本之后发布的安全公告都将更新特定软件包,并提供有关与9.2 GA版本提供的软件包升级的信息。
VEX文件为每个产品发布提供CVE的影响清单。例如,假设的CVE-2099-1000的VEX文件将包含关于RHEL 9.2版本是否受到此CVE漏洞的影响的信息。
随着CSAF文件的推出,现有的CVRF文件被视为已弃用,不再使用。CVRF文件将在2023年9月1日之前停止发布和更新。此后,可用文件将被归档并放置在下面链接下,该位置目前还不可访问:
https://access.redhat.com/security/data/archive
从2023年1月起,红帽正式宣布弃用OVAL和Data Stream(DS)v1文件。
从2023年4月1日开始,新内容将不再以OVAL和DS v1格式发布。在2023年7月1日,所有OVAL v1和DS v1数据将被压缩并移动到存档位置。
https://access.redhat.com/security/data/archive/oval_v1_
https://access.redhat.com/security/data/archive/ds_v1_
红帽将继续支持OVAL v2内容直至2024年底。尽管OVAL数据格式可以用于安全扫描,但无法满足容器化产品中非RPM内容的所有新要求或表示产品和组件版本范围的需求。随着安全行业的发展,新的数据格式更适合支持明确定义的安全数据的灵活和标准化交换。因此,红帽将停止支持OVAL v2,并采用这些新的数据格式。我们将在未来几个月内提供有关OVAL v2支持的确切终止日期的信息。
红帽为安全分析发布了各种指标数据。随着新的安全数据格式的推出,我们将停止发布某些指标数据。这种弃用是必要的,以提供准确且更一致的数据,适用于所有可用的数据格式,例如CSAF-VEX文件。下面是完整的数据内容的表格,其中包含有关未来采取的行动以及目标生效日期的信息:
https://access.redhat.com/security/data/metrics/
重要提示:由于此文件被广泛使用,为确保顺利迁移,该文件的副本将保留在“/data/metrics/”路径下,直到2024年底。
我们还要通知您,从2024年1月开始,www.redhat.com子域名将不再用于提供安全数据。所有安全数据将在https://access.redhat.com/security/data路径下提供。
正如本文开头提到的,我们的安全数据必须不断发展,以满足新的行业标准和客户需求。我们希望让用户更轻松地找到所有必要的安全数据,以进行准确的风险评估,从而可以采取必要的措施来缓解或修复其产品和服务中的漏洞。因此,拥有准确、透明和详细的安全数据至关重要。