CSAF：漏洞管理的未來

如今，幾乎每家發布安全咨詢的實體都用自己的格式和結構。此外，大多數安全咨詢僅供人員查閱，不可機讀。

系統管理員不得不親自閱讀每份咨詢，確定自己是否在用咨詢里列出的產品和版本，然后評估潛在風險和現有緩解措施，再基于自家系統的風險敞口和業務價值，做出是否及何時修復的決策。

這個過程十分耗費時間，會延遲漏洞修復和增加風險。軟硬件供應商的安全漏洞披露方式應能加速這一過程，并讓客戶能夠采用自動化。

安全咨詢新標準

通過標準化可機讀結構化安全咨詢的創建與分發，通用安全咨詢框架（CSAF）2.0版能夠支持漏洞管理的自動化。

CSAF是結構化信息標準促進組織OASIS Open的官方標準，開發CSAF的技術委員會囊括了公共部門和私營部門的技術領導者、用戶和具影響力人士。

制造商可以用CSAF標準化安全咨詢的格式、內容、分發與發現。而有了這些可機讀的JSON文檔，管理員就能夠自動化參照用戶的資產數據庫甚或供應商的軟件物料清單（SBOM）數據庫比對安全咨詢的過程。

這種自動化系統可以基于所關注的產品過濾漏洞，并根據業務價值和風險敞口確定優先級。整個評估過程都能因此而大大提速，管理員也能因而專注風險管理和漏洞修復工作。

CSAF、VEX和SBOM

漏洞可利用性數據交換（VEX）是CSAF中的一個配置文件，由SBOM社區開發，供制造商輕松傳達產品不受發布所謂負面安全咨詢的影響。VEX旨在與SBOM配合使用，但使用VEX文檔未必需要SBOM。

VEX文檔必須包含各個漏洞對每個產品的影響情況。產品可以標記為調查中、已修復、已知受影響或已知未受影響。對于標記為已知未受影響的產品，VEX要求發布者包含標記為此狀態的理由。

能夠傳達漏洞的各種狀態（包括調查中和未受影響），意味著在不聯系供應商或制造商的情況下，客戶就能獲得這些信息，客戶支持方面的壓力由而得以緩解。此外，客戶還能更好地管理漏洞風險。

VEX文檔與SBOM配合使用時，管理員可以利用資產管理系統快速確定哪些漏洞是不可利用的，節省出時間來專心處理可能導致業務面臨風險的任何漏洞。

其他CSAF配置文件

VEX是CSAF框架五個配置文件之一。每個配置文件都有特定的必填字段，用于滿足特定需求。

CSAF基礎配置文件是所有其他配置文件的根基。基礎配置文件定義了每個CSAF文檔的默認必填字段，主要是關于文檔本身的信息，比如文檔發布者、發布時間、是否修訂過等等。

安全咨詢配置文件包含當下大多數安全咨詢中都有的信息：關于漏洞、受影響產品和修復措施的詳細信息。

信息咨詢配置文件可用于提供有關非漏洞類安全問題（如錯誤配置）的信息。

最后，安全事件響應配置文件可提供的信息涵蓋公司所遭安全事件，或涉另一方（如承包商或組件制造商）事件對公司的影響。

CSAF工具和指南

CSAF定義了一致性目標，可幫助消費者和生產者找到適合自身需求的工具。OASIS CSAF技術委員會還開發了一套CSAF使用工具，包括：

● Secvisogram：在線編輯器，用于創建、更新和查看CSAF文檔，也可以生成文檔的供人閱讀版本。

● CSAF CMS后端：CSAF內容管理系統尚未完工的實現。該系統可以提供元數據創建工作流程和自動化，支持CSAF文檔的生產者。

● CSAF驗證器服務：基于REST的服務，實現CSAF完整驗證器目標，根據規范測試給定CSAF文件。

● CSAF Provider：CSAF Trusted Provider角色的實現，提供基于HTTPS的簡單管理服務，作為靜態站點生成器按照標準呈現CSAF文件。

● CSAF Checker：根據CSAF標準第7節測試CSAF Trusted Provider的工具，在不考慮指定角色的情況下檢查要求。

● CSAF Downloader：用于從CSAF提供者處下載咨詢的工具。