武汉佰钧成科普课堂：关于漏洞管理的那些事儿

　　漏洞管理(VM)是全生命周期管理中较难落实的一项工作，但它的重要性却毋庸置疑。在漏洞管理的过程中，我们可能会遇到一些专业术语，如果没能提前了解，将会给工作带来不便。接下来武汉佰钧成就针对漏洞管理领域的一些基础知识和术语进行简单介绍，帮助大家尽快熟悉这个领域。

　　武汉佰钧成科普课堂——通用漏洞评分系统

　　CVSS通用漏洞评分系统，其旨在评估安全漏洞的严重性，是全球各组织使用的公开标准。CVE就是其系统中管理这些漏洞，给每个漏洞分配一个唯一的漏洞标记或编号。

　　CVE，国际通用漏洞编号，业界普遍采用的漏洞编号方法。每个编号都包含一个已知的网络安全漏洞。如CVE-2020-15778 OpenSSH命令注入漏洞，CVE-2019-1367远程代码执行漏洞，CVE-2019-16905XMSS Key 解析整数溢出漏洞等。

　　CVE格式比较简单，一般分为CVE-[年份]-[漏洞编号]，编号长度多为4位or5位数字。CVE在当前仅由CNA (CVE Numbering Authority)编码授权机构进行管理。

　　此外，还有一些基础知识和术语在漏洞管理工作中可能会用到，如PSIRT——产品安全与应急响应团队，这是内外部产品漏洞的入口，管理公司漏洞库;SN——安全公告，在发现高关注度的漏洞/事件后，对外快速响应的公告说明;SA——安全预警，发布漏洞的技术解决方案时，针对产品漏洞发布的安全预警;SLO——服务等级目标，多为内部使用，很少用于外部承诺。

　　武汉佰钧成科普课堂——漏洞管理举例

　　我们从漏洞研发者的角度将整个漏洞申报环节做一个展开，简略为如下图：

　　以CVE-2019-6198为例，研发者在经历过对电脑管家的软件漏洞挖掘后，发现其存在dll劫持漏洞的可能。在挖掘漏洞后开始对漏洞报告进行详细地撰写，编写的漏洞报告将成为与CVE官方和CNA厂商的重要沟通桥梁，其报告的越是详尽，越是能让厂商能快速复现漏洞和验证。(与研发者沟通和对漏洞验证的组织，一般为上文提到的厂商PSIRT团队)。一旦厂商完成对漏洞的确认，厂商会诉求研发者尽快提供Poc以及编译文件，再一轮沟通后，厂商正式申请CVE并答复研发者，厂商内部进入到产品漏洞管理管道。为漏洞公告进行部署，如下图所示：

　　在产品域完成充分评估后，厂商会公告其漏洞并对研发者进行致谢。至此，一个漏洞从挖掘到厂商公告披露的流程全部完成。

　　经武汉佰钧成总结，以上术语及基础知识都是在漏洞管理过程中使用频率较高的内容，亦会贯彻漏洞管理的始终。业界厂商各自的漏洞管理方案虽然不完全相同，但基本逻辑是一致的，都是依照上述阶段出发，根据自己公司的实际情况进行改善。了解基本内容之后，对适应多种漏洞管理体系都大有帮助。