漏洞管理变革:CISA 启动 CVE 信息富化项目

为常见漏洞和披露(CVE)记录添加重要信息,帮助组织改善漏洞管理流程。

图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科漏洞管理变革:CISA 启动 CVE 信息富化项目

美国网络安全与基础设施安全局(CISA)本周发布了一个名为“Vulnrichment”的漏洞信息富化项目,为常见漏洞和披露(CVE)记录添加重要信息,帮助组织改善漏洞管理流程。

Vulnrichment项目将为公共CVE记录添加常见平台枚举(CPE)、常见漏洞评分系统(CVSS)、常见弱点枚举(CWE)和已知可利用漏洞(KEV)数据。CISA表示,他们已经完成了1300个CVE记录的富化工作,尤其针对新近出现的漏洞,并呼吁所有CVE编号机构(CNA)在向CVE.org提交漏洞信息时提供完整的数据。

CISA表示,他们最初会采用利益相关者特定漏洞分类(SSVC)评分流程评估每个CVE记录。SSVC评分方法是由CISA与卡内基梅隆大学软件工程研究所合作开发,能够综合考虑漏洞的可利用状态、安全影响以及受影响产品的普及度等因素进行漏洞分析。

对于影响重大、可自动化利用、拥有概念验证漏洞利用代码或已被用于攻击的漏洞,CISA会在后续阶段进行进一步的分析。

CISA指出,Vulnrichment项目添加的信息可以帮助组织优先开展漏洞修复工作、理解漏洞趋势,并敦促厂商修复漏洞类别问题。Vulnrichment项目托管于GitHub平台,每个富化后的CVE条目均采用JSON格式提供,方便组织轻松将更新内容整合到漏洞管理流程中。

CISA是业界最早发布可利用漏洞的公共警告机构之一。其包含超过1100个已利用漏洞条目的KEV目录已成为漏洞管理的重要资源。


转自GoUpSec,原文链接:https://www.goupsec.com/news/16324.html

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞6 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容