HackerNews 2024年05月11日
漏洞管理变革:CISA 启动 CVE 信息富化项目
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html

 

为常见漏洞和披露(CVE)记录添加重要信息,帮助组织改善漏洞管理流程。

美国网络安全与基础设施安全局(CISA)本周发布了一个名为“Vulnrichment”的漏洞信息富化项目,为常见漏洞和披露(CVE)记录添加重要信息,帮助组织改善漏洞管理流程。

Vulnrichment项目将为公共CVE记录添加常见平台枚举(CPE)、常见漏洞评分系统(CVSS)、常见弱点枚举(CWE)和已知可利用漏洞(KEV)数据。CISA表示,他们已经完成了1300个CVE记录的富化工作,尤其针对新近出现的漏洞,并呼吁所有CVE编号机构(CNA)在向CVE.org提交漏洞信息时提供完整的数据。

CISA表示,他们最初会采用利益相关者特定漏洞分类(SSVC)评分流程评估每个CVE记录。SSVC评分方法是由CISA与卡内基梅隆大学软件工程研究所合作开发,能够综合考虑漏洞的可利用状态、安全影响以及受影响产品的普及度等因素进行漏洞分析。

对于影响重大、可自动化利用、拥有概念验证漏洞利用代码或已被用于攻击的漏洞,CISA会在后续阶段进行进一步的分析。

CISA指出,Vulnrichment项目添加的信息可以帮助组织优先开展漏洞修复工作、理解漏洞趋势,并敦促厂商修复漏洞类别问题。Vulnrichment项目托管于GitHub平台,每个富化后的CVE条目均采用JSON格式提供,方便组织轻松将更新内容整合到漏洞管理流程中。

CISA是业界最早发布可利用漏洞的公共警告机构之一。其包含超过1100个已利用漏洞条目的KEV目录已成为漏洞管理的重要资源。

 


转自GoUpSec,原文链接:https://www.goupsec.com/news/16324.html
封面来源于网络,如有侵权请联系删除

Fish AI Reader

Fish AI Reader

AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。

FishAI

FishAI

鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑

联系邮箱 441953276@qq.com

相关标签

相关文章