科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全思科换了一种方法 揭露自家产品的安全问题

思科换了一种方法 揭露自家产品的安全问题

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

思科采取了一种新的、据称“经过强化与简化”的自家产品内安全漏洞披露方式,同时,用于处理机器可读之数据的API也许即将在短期内与我们见面。

来源:ZD至顶网安全频道 2015年10月8日

关键字: 思科 网络安全 安全漏洞

  • 评论
  • 分享微博
  • 分享邮件

 思科公司以经过大幅改进的、易于阅读的形式发布安全漏洞报告:

思科公司对自家产品内安全问题的披露方式加以改革

思科公司已经改变了对自家产品内安全漏洞的披露形式。

网络巨头目前已经采取一种新的、据称“经过强化与简化”的自家产品内安全漏洞披露方式。这大新方案使用安全影响评级(即Security Impact Rating,简称SIR)分数来帮助大家了解当前所面临之安全漏洞的严重程度,同时配合CVE系统以及通用安全漏洞报告框架(简称CVRF),旨在以标准化且机器可读之格式对漏洞进行描述。由于相关数据能够为机器所直接读取,因此这类报告将在思科正式发布相关API之后发挥巨大作用——根据该公司的说法,该API“将在未来几个月内推出”。根据网络巨头做出的承诺,该API允许客户“对思科信息及公告进行自主定义,从而满足自身的特定需求。该API还允许客户设定相关规则,从而实现客户自有网络的自动化评估。”总结来讲,这很像是一种“塞入全部已有安全漏洞报告,结合网络实际情况然后告诉用户该怎么做”的傻瓜式解决方案,如果真能达到这样的效果、我们应当为思科鼓掌喝彩。

思科公司已经为其安全漏洞通告采取了一种新的RSS推送方式,其以CVRF格式存在并能够通过一款Python解析工具对内容进行读取,从而最大程度发挥其实际作用。

相关API以及新型格式之所以陆续出现,是因为思科公司的产品安全事件响应小组(即Product Security Incident Response Team,简称PSIRT)“承认过去这方面工作的一致性水平较低,且表示其原先会根据漏洞的具体严重程度采用多种不同的安全问题通知方式。”

而到今天,所有安全漏洞都将得到相同的对待,即在网络之上发布明确的特性及危害介绍,并利用新的SIR机制对其加以评分,其具体分值及等级划分如下:

思科公司对自家产品内安全问题的披露方式加以改革


思科公司做出的这一系列变更显然是对客户反馈的响应。感兴趣的朋友可以(点击此处)查看关于这一新机制的官方描述(英文原文)

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章