cvr系统详细解析（深度创新CVE扫描10项必备功能）

开篇：CVE是一个公开已知的网络安全漏洞和暴露的列表。列表中的每一项都是基于在特定软件产品中发现的特定漏洞或暴露，而不是基于一般类别或类型的漏洞或暴露。

CVE列表的设计是为了方便链接来自漏洞数据库的信息，并能够对安全工具和服务进行比较。CVE列表是分配给每个漏洞和暴露的CVE标识符的集合。

风河沉浸式深耕研究

事实上，2021年度CVE报告提交的漏洞数量是历史上最多的，超过了20000个。而随着网络流量的爆炸性增长，伴随着更高的服务质量（QoS）需求以及更高的网络可视化和安全性需求，这些都给网络设备供应商带来了新的压力。

如果不扫描检查，嵌入式开发人员很可能就会在其软件产品中混入了包含严重安全漏洞的代码，并且完全不知道这些漏洞的存在，由此导致的安全风险巨大。《Forrester应用软件安全现状报告（2021）》中指出：近三分之一的安全漏洞是由软件漏洞引起。

嵌入式软件开发团队需要专门的策略和战术，以便消除其解决方案中日益增长的安全漏洞风险。数十年来，为消除安全漏洞对嵌入式系统的影响，风河持续提供软件解决方案和专业服务，并积累了丰富的专业知识，从而成为嵌入式开发人员的坚强后盾。

基于嵌入式软件系统领域多年来所积累的资源，风河对安全性的重视，对关键性应用、网络安全环境、边缘计算的重视度非常之高，因此，风河提出了进行CVE扫描并解决安全漏洞提供了10项必备功能。

创新十项功能引瞩目

这十项功能包括：漏洞生命管理周期、精确性、保持及时更新、漏洞识别自动化、分类效率、自动识别许可证和合规性、DevOps集成、仪表板和健康监视器、报告功能、信息安全和隐私保护。这其中，风河开发和升级了很多应用，笔者特别指出几个极具创新性内容：

精准分类CVE来源

首先是精确性，如今CVE数据库的增长速度比以往任何时候都快，已知漏洞数量不断创下历史新高。更不幸的是，并没有迹象表明这一趋势有任何放缓。漏洞威胁日趋严峻，威胁行为数量众多，安全性攻击的危害程度令人担忧。然而，许多已知CVE对于嵌入式开发人员来说是不相关的。有效漏洞管理的一个关键成功因素是通过裁减市面已知的CVE列表来构建会显著影响嵌入式开发团队的CVE数据库。面向嵌入式开发，针对众多来源的CVE，风河公司建立了精准分类的数据库。在整个漏洞管理生命周期内，软件开发团队都可以利用这个CVE数据库来确保漏洞扫描的精确性和有效性。这不仅节省了漏洞分析所需的时间和资源，而且也让开发人员可以获得风河公司在解决安全漏洞方面积累的经验。

另外，保持及时更新也非常重要，漏洞扫描的水平依赖于CVE资源，因此保持漏洞数据库及时更新，对于解决好安全风险问题至关重要。新的漏洞每天都会产生，而收集汇总的机构各不相同，包括美国国家漏洞数据库、Mitre以及其他资源库。因此，汇总众多资源以保持CVE数据库处于最新状态，这并非易事。风河Wind River CVE数据库专门为嵌入式开发团队而精心编制，为保持CVE处于最新状态提供了关键性的支持。凭借这些资源，您可以确信——最新出现的漏洞也不会成为漏网之鱼。

最重要的是漏洞识别自动化，风河公司推荐采用自动化方法来检测漏洞。这项工作的前提是创建软件物料清单（Software Bill-of-Materials, SBOM），包含Linux OS平台以及应用软件中用到的每个软件包。我们的解决方案可以协助创建这个组件细目，以便您始终拥有所用软件包清单。SBOM采用软件包数据交换（Software Package Data eXchange，SPDX）格式，不仅包括描述符信息，还包括版本、名称、许可证、提供商以及与软件包相关的其他元数据。通过这些信息，开发人员可以创建包含其Linux操作系统和应用软件的详细软件清单，由此成为随后为所用软件量身定制智能漏洞扫描的基础。

分类效率，也是不错的工具，对于许多刚刚开始漏洞评估流程的团队来说，最初的扫描很可能会是令人崩溃的——在较大规模的代码库中有时会发现数百甚至数千个漏洞。首先遭遇的挑战就是你根本不知道从哪里着手。通用漏洞评分系统（Common Vulnerabilities Scoring System）为跟踪的每个CVE提供严重程度评分。风河漏洞扫描器可以根据这个评分结果提供对代码影响最大的CVE优先列表。有了CVSS评分，开发人员就可以专注于解决方案中风险最大的漏洞。

CVE依照严重性予以分级

如前所述，反复的评估工作对于确保已知风险不会再次引入软件代码至关重要。将过旧的软件包、软件组件链接或编译到应用中，这是十分常见的情况。风河公司的漏洞扫描功能可以保存高优先级CVE列表，以确保对其进行持续评估，这对于有效评估Linux平台和应用软件相关的风险至关重要。

风河的仪表板和健康监视器，仪表板是查看此类整合视图的重要方式。良好、有益的仪表板应该提供系统状态的高级视图，让人一目了然，同时在必要时支持向下挖掘（Drill-Down）和详细报告。仪表板显示的内容也应该可以自动更新以确保不会过时。

CVE扫描仪表板

风河用创新 服务赢市场

显而易见，今天，风河做的这一切为企业提供了两方面影响：首先，提高了企业安全意识，另企业更重视安全问题，风河不仅仅是企业的嵌入式系统的合作伙伴，更关注企业自身软件系统的安全服务，无论是现在、未来，风河为企业规避了可能的安全隐患。从另一方面而言，风河挖掘了企业可能存在的安全隐患之后，由从技术上进行创新升级，不断提供给企业规避安全的工具和解决方案。

我们可以说，风河不是企业的嵌入式系统的合作伙伴，更是企业安全服务商。风河Wind River Studio Linux Services团队长期服务于众多的工程项目，为客户提供安全最佳实践指导，同时为您的Linux平台、应用软件和系统带来专业知识和经验。此外，针对Yocto Linux和Wind River Linux，风河公司都长期维护补丁包，可以确保您的操作系统始终处于最新版本，而补丁包则可以随时修补已知的漏洞。