私たちは、企業で使用されている製品を提供するベンダーです。脆弱性管理プロセスの一部を使用している製品に対して定期的なCVEスキャンを行っている企業は知っています。私の質問は、私たちのセキュリティ研究者が私たちの製品に脆弱性を見つけた場合、CVEを上げる必要がありますか、それとも私たちが公式Webサイトで公開する毎週のセキュリティ更新でこの脆弱性を上げることができますか?
どちらでも可能ですが、脅威インテリジェンスフィードを受け取った顧客が問題に気づき、パッチを迅速に処理できるように、CVEを申請することをお勧めします。 CVEを割り当てると、後で必要になった場合に、一般的な通信で特定の脆弱性を参照しやすくなります。これは、セキュリティの透明性を真剣に考えていることを顧客に示すシグナルでもあります。
CVEはMITREによって割り当てられ、管理されます。 CVEアプリケーションフォーム を使用して要求を行うことができます。
更新する必要があることを他の人に知らせるためにCVEを公開すると便利です。あなたが言ったように、彼らは脅威のインテリジェンスフィード(またはCVEスキャン)でそれを見ることができるので、すべての更新の変更ログを読む必要がなく、更新。
さらに、ペンテスターとして、それは私たちの仕事で多くの助けになります。 SAPConnectorDeluxe 4.1.39が見つかった場合、最初に行うことは、CVEデータベースで脆弱性をチェックすることです。ソフトウェアが独占的であり、ごく一部の企業でのみ使用されている場合でも、そのソフトウェアを実行することのリスクを知っておくと、お客様に適切にアドバイスできます。
また、検出された頻度と種類の問題もわかります。過去1年間に小さなソフトウェアコンポーネントに10個のバッファオーバーフローの脆弱性があることがわかった場合、開発者が開発プロセスにセキュリティを組み込む時間がないことがわかります。 。このような場合、より多くの脆弱性が見つかるか、悪意のある当事者によってすでに見つかる可能性が非常に高いです。
ソフトウェアが内部でのみ使用されている場合、CVEの提出は一般的ではありません。カスタムソフトウェアが見つかった場合は、(どれだけの時間があるかによりますが)分析を行い、誰かにそのセキュリティをより徹底的にレビューするようにアドバイスします。社内製品に関する情報は社外のユーザーには役立たないため、CVEのような中央データベースに公開する必要はありません。
CVEを要求する必要はありませんが、CVEが有益であると思われる場合は自由に要求できます。
CVEは、脆弱性を特定する中心的な数値であり、脆弱性について連絡するときに役立ちます。 CVEは、複数の関係者が関与している場合に特に役立ちます。誰でもあなたの製品にCVEを要求することができますが、私の意見では、誰かがそれをする前に自分でそれを行う方が良いように見えます。
最も重要な質問は、製品に自動更新機能が付いているかどうかです。デフォルトで自動更新される場合、CVEは、あなたの存在すら知らない多くのハッカーの気づきの領域にあなたの製品を置くことにより、時として害を及ぼすことがあります。彼らはあなたのCVE履歴を見ることができ、あなたのセキュリティ態勢について良い気持ちをつかむことができます。 「アマチュア」のミスに対する多くの修正が見られる場合、その製品は、他の方法では回避できないほど運が良かった、もっとあいまいなものを見つける方法を知っている人々の監視下に置かれる可能性があります。
また、CVEをリリースしてもパッチが適用される可能性が低い製品は、害を及ぼす可能性があります。ほとんどのIoTデバイスにパッチが適用されることはないため、CVEはハッカーにどのデバイスが簡単に獲物になるかを伝えるだけです。
対照的に、CVEをリリースした場合に発生する可能性が高い手動更新が製品に通常必要な場合は、おそらくそれを行う必要があります。
これが本当に重大な問題である場合は、問題にパッチを適用し、できるだけ長く秘密にしておくことができます。
その後、顧客はソフトウェア更新を適用するためのより長い時間枠を持っています。
また、パッチの配信後の「差分リバースエンジニアリング」を妨げるために、できるだけ多くのバイナリ難読化を使用するようにしてください。
パッチをすぐに適用する企業はほとんどありません。ほとんどの企業は、システムに更新を適用する前に品質管理と評価を行っています。 CVE定義により、ソフトウェアの現在のバージョンに存在する脆弱性を知ることができます。次に、その脆弱性を評価し、情報に基づいた更新をいつ適用するかを選択できます。