漏洞管理
法律依据
§30(2) 第5项 BSIG – IT系统、组件和流程的采购、开发和维护中的安全措施,包括漏洞管理和披露
漏洞检测
| 方法 | 描述 | 周期 |
|---|---|---|
| 自动扫描 | 基础设施和应用扫描 | 每周 |
| CVE监控 | 监控相关CVE源和公告 | 持续 |
| 依赖监控 | 软件依赖自动检查(Dependabot、Trivy) | 持续 |
| 渗透测试 | 合格测试人员的外部和内部测试 | 每年 |
补丁管理
| 严重程度 | 期限 | 示例 |
|---|---|---|
| 关键(CVSS ≥ 9.0) | 48小时 | 远程代码执行、被积极利用 |
| 高(CVSS 7.0–8.9) | 7天 | 权限提升、数据泄露 |
| 中(CVSS 4.0–6.9) | 30天 | 拒绝服务、信息泄露 |
| 低(CVSS < 4.0) | 下一个发布周期 | 表面问题、低影响 |
安全开发
- 安全设计 – 从设计阶段起纳入安全要求
- 代码审查 – 安全相关更改的四眼原则
- 自动化测试 – CI/CD管道中的Lint、构建、安全扫描
- 依赖锁定 – 版本化和验证的依赖
CRA协同效应
产品相关的漏洞管理(基于SBOM的CVE监控、CycloneDX、Trivy扫描)在CRA漏洞管理文档中描述。NIS2补充了基础设施和运营层面的漏洞管理。