在最大限度地减少安全漏洞的同时构建功能安全
如果你负责开发一个包含复杂软件和互联网连接的产品,你可能需要考虑很多因素,包括但不限于质量、功能、市场/消费者需求、竞争对手格局等。开云体育官网入口然而,如果不能保证设备的安全,所有这些考虑都是徒劳的。
安全漏洞可能会使您的设备、客户和您自己面临以下不利后果,包括:
- 机密业务数据丢失
- 暴露客户或最终用户数据,这可能导致身份盗窃、HIPAA违规和其他可怕的后果
- 恶意分子渗透设备,可能导致财产损失、注入勒索软件等。
一旦发现重大安全漏洞,将记录为常见漏洞和暴露(Common vulnerability and exposure,简称cve)。CVE数据库是产品中存在(或曾经存在)的已知可利用的安全问题的存储库。开云体育KENO快乐彩cve由MITRE公司和美国国家漏洞数据库(NVD)共同发布和维护,该数据库由美国国土安全部维护。
当发现CVE时,NVD会为其分配一个CVE标识ID。此外,如果CVE被确定为一个问题,它也会被分配一个漏洞评分。这是一个介于1和10之间的数字;该数字越高,对于包含该漏洞的设备来说,该漏洞就越严重。NVD还包含有关该问题的任何其他已知信息,以及指向进一步描述该问题的相关网站的链接,以及现有的可用修复程序。
但是我们怎么找到它们呢?cve的发现要么是由于造成的损害(对不良影响的事后分析发现了潜在的问题),要么是由于认真的工程师发现了潜在的漏洞。好消息是大多数漏洞被发现时都不会造成损害。坏消息是,一旦一个漏洞通过CVE过程传播到全世界,它就很容易被世界各地的黑客利用,所以时间是至关重要的。
有许多可用的工具可以帮助您确定您的产品中是否包含重要的cve,其中最重要的是cve-check (https://github.com/clearlinux/cve-checktool)。此工具通过执行版本检查生成报告,其中包括哪些包包含在您正在使用的版本中无法解析的cve。您可以使用此信息来确定在您的产品被认为完成之前是否需要采取任何先发制人的行动
还有其他一些因素可能会导致你的设备更容易被利用,包括:
- 访问控制——您是否设计了定义可以访问各种类型数据(用户级别、管理级别、维护级别等)的角色的能力,并且您是否确定只有授权的角色才能访问数据?
- 加密-存储在您设备上的数据(包括内存和存储),以及在您的设备和其他设备之间传输的数据是否受到保护和加密,以便只能被那些想要看到它的人破译?
- 硬件安全辅助——现代处理器的许多功能有助于确保设备和应用程序的安全,但系统设计者有责任利用它们。
未来的漏洞怎么办?一旦产品发布,您的工作还没有完成,只是因为您已经保护了自己不受所有已知漏洞的攻击。已知的漏洞数量每天都在增加;2019年,全国新增cve 12174家,平均每天新增30多家。
当然,其中大多数都不是问题,而且,在这些问题中,许多将不适用于您的设备(许多cve报告针对的开源组件版本比您可能部署的版本更老,或者针对的是您没有使用的组件)。也就是说,其中至少有一些会导致针对您的设备的漏洞。
虽然没有办法防止这种情况发生,但你需要知道它会发生,你需要确保你的设备准备好了。为设备的未来做好准备的时间是在开发期间,这样您就可以在发现和修复新的漏洞(和重大产品缺陷)时对设备进行更新。在为您的设备提供未来保障时,最重要的考虑因素是安全更新系统的能力。
每个产品都存在安全漏洞,但您可以学习如何保护您的设备免受已知问题的影响,使您不知道的漏洞难以被利用,并为发现和修复已知问题建立流程。
在尝试开发尽可能安全的设备时,将其视为安全金库是有帮助的:
- 关闭大门-保护您的设备免受已知类型的问题,安全问题和产品设计
- 保持门关闭-保护您的设备免受未来
- 让门难以打开——应用预防性开发技术
今天,我们探讨了关闭隐喻之门的问题。下次,让我们来看看如何保持这扇门关闭,让它很难打开。
下载这些设备安全白皮书。
