由Glenn Seiler.

世界越来越多地互联，结果是暴露于安全漏洞已经大幅增加。维护当今基于Linux的平台的复杂性使得开发人员覆盖每个潜在的入口点非常具有挑战性。2019年，每天平均落实了超过45只C瓦斯。发展组织如何跟上这一点？为了留下来，开发人员必须越来越多的时间和精力将共同漏洞和曝光（CVE）补丁集成到他们的解决方案中，以花费时间开发其应用程序

安全攻击有多种形式，并使用各种入口点。每种攻击类型都有几种类型，因为根据黑客的经验、资源和决心，通常有不止一种方式可以配置或伪装它们。虽然有些威胁比其他威胁更普遍，但开发人员需要保护所有的漏洞。下面的图表显示了在过去6年中cve的增长，以及这些cve的数量实际上影响了任何给定的分布。

管理流程安全性高
为了减少基于linux系统的威胁，Wind River开发了一个管理流程和四步程序:监控、评估、通知和纠正CVE威胁。让我们更详细地检查这个过程:

1.主动监测
在这个不断变化的世界中，为了领先于威胁，监测是必不可少的，也是必要的尽职调查。显然，这并不能解决任何问题，但确实提供了潜在漏洞的关键洞察力，并与可信供应商区分开来。这由图1中的顶部行表示。

忽视仍然是一个很大的风险，一些Linux提供商易受较低的尽职调查开始攻击。Wind River Linux客户支持我们的安全团队致力于主动监测，快速评估和优先级，主动客户通知，及时修复，以实现加强的安全姿势。

例如，风河安全团队一直在监视常见漏洞和暴露(CVE)数据库，以发现可能影响安全的潜在问题WindRiver®Linux.和VxWorks实时操作系统。此外，团队还从美国政府机构和组织中监控特定的安全通知NIST那美国证书以及公共和私人安全邮件列表，每当出现新的安全威胁时，每个组织的警报。标准Wind Rivex Linux发行版支持的所有内核功能，用户封装和Linux工具都会针对所有传入报告监控安全漏洞。

2.快速评估
意识只是第一步。一旦发现潜在的威胁，必须通过负责威胁评估的团队确定与威胁相关的危险程度，以及风河Linux版本的释放或易受攻击的攻击或易受攻击。根据CVE优先级别和对业务，系统性能或曝光曝光的影响，基于影响，并按重要性排序，并按重要性排序并排序。该步骤由图1中的中间排表示。

如下步骤所述，在此上下文中的漏洞缓解通常涉及编码变化，但也可以包括规范变更甚至规范弃用（例如，以完整的影响，影响受影响的协议或功能）。

3.主动客户通知
一旦评估完成，系统会报告回任何受影响的子系统或用户。该报告提供了有关漏洞的充分细节，以及挫败威胁的计划。收获的信息还与修复过程同步。

通知过程比以往任何时候都重要，可能会涉及使用外部工具和人员。这是一项将根据对脆弱性的评估作出的决定。然而，此步骤的关键元素是及时处理与客户的通知，以将损坏或数据丢失降到最低。

4.及时补救
改革过程发生，分类风格。Wind River团队致力于收集与问题相关的所有信息，以便可以分析它。漏洞可能发生在风河开发的产品或风河产品运营的执行环境中。基于严重性，威胁要立即处理或处理及时的“错误修复”方式处理，这将在更新的更新中部署。Wind River Linux中的较严重严重的漏洞补丁是通过每月产品更新提供的。继续心灵必须针对字段中的所有当前版本进行这种修复。这由图1中的底行表示。

标准的Wind River Linux发布模型遵循一年的更新策略，即每年发布一个版本。实际上，这意味着Wind River每隔12个月就会为Wind River Linux基础平台引入一个内核更新，以及由此产生的其他架构更改。此外，通过滚动累积补丁层(RCPLs)交付软件补丁和当前版本的小更新，并进行主动维护。这些rcpl是根据一个可预测的时间表持续提供的，不会触发任何主要的内核、工具链或用户空间包修订(除非关键问题需要特定的行动)。Wind River Linux也可以作为连续交付订阅，每隔几周就会进行更新。每个更新都被视为正式发布，因此每隔几周就要发布一个新版本，这个版本必须包含在任何评估和补救中。随着DevOps和CI/CD使用的增加，这将给开发人员增加管理CVE流程的负担。

客户显然可以从Wind River长达5年的标准支持中受益(这可以延长设备的使用寿命)。定期维护，包括4步CVE流程，可以从根本上减少麻烦，降低成本，并保护客户免受整个生命周期的安全漏洞风险。

未来的计划
虽然上述管理流程和步骤无法确保避免所有威胁，但他们确实有助于减轻客户风险并减少系统的曝光。Wind River的专用Linux支持人员和产品工程师可以减少开发周期时间，提供威胁尽职调查，并帮助避免安全漏洞。

开发人员可能希望在决定构建和支持自己的Linux分发或选择商业Linux OS提供程序时应用关键镜头。需要考虑支持安全漏洞，并将其与他们遵循此概述的步骤相比。

欲了解更多信息，请参阅风河的Linux安全页面白皮书。

有问题或想法要分享吗?联系我们。

其他名称和品牌可能被认为是他人的财产。MITRE是MITRE公司的注册商标。CVE®是MITRE Corporation的注册商标。