漏洞检测与CVE监控
扫描计划
基础设施扫描
| 方法 | 工具类别 | 频率 | 范围 |
|---|---|---|---|
| 网络扫描 | 端口扫描器、服务检测 | 每周 | 所有可达IP地址段 |
| 漏洞扫描 | Trivy、OpenVAS或同等工具 | 每周 | 服务器、容器、网络设备 |
| 合规扫描 | 配置审查 | 每月 | 加固基线、CIS Benchmarks |
应用程序扫描
| 方法 | 工具类别 | 频率 | 范围 |
|---|---|---|---|
| SAST(静态分析) | CI/CD中的代码分析 | 每次提交 | 自研软件 |
| 依赖扫描 | Dependabot、Trivy | 持续(自动化) | 所有软件依赖 |
| 容器扫描 | Trivy | 每次构建 | Docker镜像 |
CVE监控
信息源
| 来源 | 类型 | 相关性 |
|---|---|---|
| NVD(国家漏洞数据库) | CVE数据库 | 所有使用中的产品 |
| BSI警告 | 安全通告、安全提示 | 基础设施和标准软件 |
| 供应商通告 | 厂商通知 | 使用中的产品 |
| GitHub Security Advisories | 依赖告警 | 开源依赖 |
| CERT-Bund | 警告消息 | 关键基础设施 |
评估流程
CVE发布
→ 相关性审查:受影响产品是否在我们的环境中使用?
→ 是:CVSS评估 + 上下文评估
→ 关键/高:立即升级至IT运维
→ 中:纳入补丁周期
→ 低:下一个发布周期
→ 否:归档漏洞跟踪
每个已识别的漏洞均须记录:
| 字段 | 描述 |
|---|---|
| ID | CVE编号或内部ID |
| 受影响系统 | 主机名、应用程序、组件 |
| CVSS评分 | 原始评估 |
| 上下文评估 | 根据我们的环境调整(可达性?可利用性?) |
| 状态 | 开放 / 处理中 / 已修复 / 已接受 |
| 措施 | 补丁、临时方案、配置变更 |
| 期限 | 按补丁管理期限 |
| 责任人 | 负责的管理员或开发人员 |