您现在的位置：首页 > 行业资讯

红帽安全数据的未来

来源：红帽更新时间：2023-6-16

红帽安全数据是关于已发布、已知漏洞的红帽产品的核心数据来源。这些数据中的准确信息可帮助客户进行风险评估，为漏洞管理计划提供正确的指引，并进一步协助漏洞修补的优先级排序。我们不断通过添加更多信息到现有数据、引入新的数据格式以及与其他供应商（包括安全扫描器供应商）就安全数据交换的一般方法进行合作，来不断改进我们的安全数据。

随着每天发布的新软件缺陷、漏洞（特指CVE ID）和利用程序，漏洞信息几乎立即向所有人公开，包括客户和潜在攻击者。根据各种风险报告，包括最近发布的2022红帽产品安全风险报告，从2021年到2022年，具有指定CVE ID的漏洞数量增长了25%。考虑到这些数字，显然，“修复一切”方法是不现实的，主要是因为只有略高于4%的已发布漏洞对组织构成了实际风险。

那么，如何进行漏洞管理才是最佳实践呢？首先，需要对软件漏洞和如何正确评估实际风险有充分的了解。为了进行准确的风险评估，使用来自供应商的可靠的安全数据源是至关重要的。阅读“从容应对软件漏洞：如何正确解读CVE和CVSS？”博文，了解更多信息。

即将发生的变化

多年来，红帽一直通过OVAL和CVRF数据格式提供有关其产品的安全信息。然而，就像其他领域一样，安全数据领域也在不断变化，需要进行调整和改进以满足新的行业标准和客户要求。

新的安全数据格式

CSAF-VEX

2022年6月，红帽开始以测试版形式使用新的CSAF格式发布安全公告。2023年2月，我们正式宣布CSAF格式已成为红帽安全公告的官方格式，取代了旧的CVRF格式。所有发布的安全公告都会在该路径下公开发布：

https://access.redhat.com/security/data/csaf/v2/advisories/

CSAF文件的正式版本使用VEX配置文件来表示特定产品版本中哪些组件已经修补以解决特定CVE，以及哪些组件不受该CVE影响。虽然我们包含了有关未受影响组件的信息，但它仅与至少在一个组件中修复的CVE有关，不包括有关所有其他受影响CVE的信息。

为了进一步改进红帽安全数据，我们的下一步是为每个独立的CVE发布单独的VEX文件，以涵盖整个VEX配置文件定义的所有产品状态。这样做将提高我们的安全数据的精度和可靠性，使客户更容易理解他们的产品是否受到特定漏洞的影响。

已修复：链接到已发布的CSAF-VEX公告
已知受影响：确认特定产品和组件受特定CVE影响
已知不受影响：确认特定产品和组件不受特定CVE影响
正在调查：红帽产品安全团队正在验证特定CVE对特定产品和组件的适用性（以及其影响）的信息

在CSAF格式中，VEX配置文件的主要目的是让供应商声明特定漏洞是否影响其产品以及如果受影响，修复状态是什么。

CSAF公告覆盖了特定产品发布中已修复和已知不受影响的组件，而VEX文件则为所有红帽产品中与特定CVE相关的组件提供了完整的适用性状态（通过上述四种状态进行通信）。因此，CSAF和VEX文件之间的关键区别在于，CSAF仅覆盖了特定产品发布的两种状态（已修复和未受影响），而VEX文件为每个CVE的所有产品提供了所有状态的覆盖。VEX文件将在一个单独的URL路径下发布。

红帽还开始发布核心Red Hat产品的SBOM（软件清单）文件。SBOM是一个机器可读的清单，包含软件组件和依赖项，以及许可证和来源信息。这种综合清单有助于建立采购审查和审核的软件应用/库集中所包含内容的清单。与VEX一起，它有助于组织应对其漏洞风险评估过程。这些文件共同提供了有关潜在风险的信息，例如包含漏洞的工件所在的位置，以及这个工件与组件或产品的相关性，并且它们的当前状态以防已知漏洞或攻击。

目前，SBOM文档的内容和分发方式在行业内仍存在许多讨论。不同类型的SBOM和分发方法已经提出。红帽正与其他供应商合作，努力定义发布有用的SBOM所需的具体要求，并向消费者和合作伙伴介绍如何使用这些数据。Red Hat发布的SBOM文件目前处于测试版，可供客户测试，可在下面链接上获取：

https://access.redhat.com/security/data/sbom/beta/spdx/

CSAF、VEX和SBOM之间的数据关系

SBOM文件有助于确定可能受影响的组件的位置，而VEX文件则有助于客户确定自己是否受到特定漏洞的影响。VEX文件提供必要的信息进行风险评估，例如Red Hat的严重性评级、CVSS指标或CSAF公告等风险元数据，从而使客户能够制定更有效的修补优先级方法，专注于真正重要的事情。

如图所示，CSAF文件代表产品发布版本和修复的CVE以及其中包含的组件，使消费者可以保持其SBOM的最新状态。SBOM文件是静态文档，包含特定版本产品中的所有组件清单。例如，RHEL 9.2版本将有一个相应的SBOM，列出了默认情况下在该版本中提供的所有组件。任何在RHEL 9.2版本之后发布的安全公告都将更新特定软件包，并提供有关与9.2 GA版本提供的软件包升级的信息。

VEX文件为每个产品发布提供CVE的影响清单。例如，假设的CVE-2099-1000的VEX文件将包含关于RHEL 9.2版本是否受到此CVE漏洞的影响的信息。

遗留数据格式会发生什么？

随着CSAF文件的推出，现有的CVRF文件被视为已弃用，不再使用。CVRF文件将在2023年9月1日之前停止发布和更新。此后，可用文件将被归档并放置在下面链接下，该位置目前还不可访问：

https://access.redhat.com/security/data/archive

从2023年1月起，红帽正式宣布弃用OVAL和Data Stream（DS）v1文件。

从2023年4月1日开始，新内容将不再以OVAL和DS v1格式发布。在2023年7月1日，所有OVAL v1和DS v1数据将被压缩并移动到存档位置。

https://access.redhat.com/security/data/archive/oval_v1_<date>.tar.gz

https://access.redhat.com/security/data/archive/ds_v1_<date>.tar.gz

红帽将继续支持OVAL v2内容直至2024年底。尽管OVAL数据格式可以用于安全扫描，但无法满足容器化产品中非RPM内容的所有新要求或表示产品和组件版本范围的需求。随着安全行业的发展，新的数据格式更适合支持明确定义的安全数据的灵活和标准化交换。因此，红帽将停止支持OVAL v2，并采用这些新的数据格式。我们将在未来几个月内提供有关OVAL v2支持的确切终止日期的信息。

自定义指标数据文件的更改

红帽为安全分析发布了各种指标数据。随着新的安全数据格式的推出，我们将停止发布某些指标数据。这种弃用是必要的，以提供准确且更一致的数据，适用于所有可用的数据格式，例如CSAF-VEX文件。下面是完整的数据内容的表格，其中包含有关未来采取的行动以及目标生效日期的信息：

https://access.redhat.com/security/data/metrics/