Hikvision Blog

Quản lý lỗ hổng Phần 2: Công bố công khai các lỗ hổng

Đăng vào 12 Tháng 4, 2024 bởi HIKVISION HẢI PHÒNG

Trong blog tuần trước, chúng tôi đã thảo luận về lỗ hổng bảo mật là gì và cấu trúc cơ bản của chương trình quản lý lỗ hổng bảo mật. Trong blog hôm nay, chúng tôi sẽ đề cập đến phần tiết lộ công khai của quy trình.

Việc tiết lộ các bản vá phù hợp cũng đòi hỏi một cách tiếp cận có trách nhiệm và phối hợp. Khi các nhà nghiên cứu bảo mật đạo đức và nhà cung cấp phần mềm làm việc cùng nhau, cả hai bên sẽ chờ thông báo cho công chúng về lỗ hổng bảo mật cho đến khi bản vá hoạt động được thử nghiệm và có sẵn để người dùng cuối tải xuống. Hành động này được thực hiện để ngăn chặn các tác nhân đe dọa khai thác lỗ hổng này. Các nhà cung cấp và nhà nghiên cứu sẽ thống nhất về ngày tiết lộ lỗ hổng bảo mật chính thức, vào thời điểm đó nhà cung cấp sẽ đưa ra tuyên bố công khai kèm theo liên kết đến bản vá. Sau khi bản vá được phát hành chính thức, người dùng cuối sẽ cần cài đặt nó để đảm bảo lỗ hổng được giảm thiểu.

Trong những ngày đầu của khoa học máy tính, việc vá lỗi rất khó hiểu vì không có quy ước đặt tên cho các lỗ hổng. Năm 1999, Mitre nhằm mục đích giải quyết vấn đề này bằng cách tạo cơ sở dữ liệu CVE, đặt cho mỗi lỗ hổng một tên duy nhất. Điều này làm cho công việc của người quản trị hệ thống trở nên dễ dàng hơn. CVE hiện là tiêu chuẩn ngành cho các mã định danh lỗ hổng và mức độ phơi nhiễm.