信息安全社区标准化活动的集合和计划

脆弱性管理

您组织的硬件上使用的所有软件资产需要寻找常见的弱点(CWE)常见的漏洞(CVE)。整整主要包获得这些搜索完成后,产品已被释放。然而,对于有机和定制的软件包应该执行这些搜索在开发和发布前。这样的工具常见的脆弱性和风险敞口(CVE),普通危险得分系统(CVSS),开放的脆弱性和评估语言(椭圆形)关键是确定和有效地管理组织的漏洞厂商独立的方式,使自动化。

解决意想不到的基本过程的安全相关的弱点在任何自主研发,商业或开源软件用于任何组织开始的发现在软件安全相关的弱点,让脆弱的软件。发现者将软件的创造者,外部人员或软件用户。商业和开源软件下一步通常是软件开发者被告知潜在漏洞的发现者确认这是一个真实的脆弱,开始评估,然后寻找潜在的决议。

最终,修复或可能的解决方案的漏洞发布软件客户和经常公众。这通常是通过一个安全咨询、勘误表,或从软件的创造者和/或公告的研究员发现了漏洞。越来越多的这些报告包括CVE标识符,CVSS基础分数,和椭圆的定义以及被格式化的根据常见的漏洞报告格式(CVRF)。随后,社区检查安全漏洞的安全工具开发人员部署软件开始的任务如何检查这个新的公共安全漏洞和补丁。在椭圆的定义都包含在公众咨询工具,可以立即开始检查。

工具开发人员不支持摄取椭圆的定义已经开始创建新的检查使用的叙述安全顾问或公告。在短期内,大多数安全评估工具将寻找更新和报告系统状态关于这个新的漏洞。如何应对每个工具检查脆弱性及其可能的用户通常不知道工具。

在美国国防部(DoD),漏洞是传达给操作的优先级通过他们的用户和系统管理员信息保障脆弱性管理(IAVM)系统由信息保障脆弱性警报(IAVAs),信息保障漏洞公告(IAVBs)和技术警报(助教)。的IAVMs和CVE标识符之间的映射是可用的信息保障支持环境(IASE)组国防信息系统局(DISA)。

关于处理潜在漏洞的更多信息在自主研发的软件,以及软件开发组织应用程序安全性软件保证