風(fēng)河發(fā)布Linux CVE安全性掃描服務(wù)確保全生命周期長期維護(hù)

全球領(lǐng)先的關(guān)鍵任務(wù)智能系統(tǒng)軟件提供商風(fēng)河公司宣布推出Wind River Studio Linux Security Scanning Service（安全性掃描服務(wù)），目前無需付費即可提供專業(yè)級掃描以便發(fā)現(xiàn)公共漏洞與暴露（CVE）。此項服務(wù)針對嵌入式Linux開發(fā)而做了專門調(diào)整，還可標(biāo)識出某項特定CVE是否已經(jīng)具備可用的修復(fù)解決方案，包括來自風(fēng)河公司的修復(fù)和補(bǔ)丁。

風(fēng)河公司首席客戶官Amit Ronen指出：“在高度互聯(lián)且十分復(fù)雜的計算環(huán)境中，安全漏洞變得越來越泛濫，對CVE的監(jiān)控和管理必須及時高效，這項工作必須列入最高優(yōu)先級。市場和客戶急切需求添加新功能、更快投入運營并確保安全穩(wěn)定性，導(dǎo)致CVE往往在維護(hù)生命周期中難以充分顧及。憑借我們多年的Linux經(jīng)驗和專業(yè)積累，Studio Linux Security Scanning Service（安全性掃描服務(wù)）可以幫助開發(fā)人員快速識別高風(fēng)險漏洞，對修復(fù)工作進(jìn)行優(yōu)先級劃分，從而提升Linux相關(guān)設(shè)備和系統(tǒng)的安全性。”

開發(fā)人員在掃描服務(wù)中只需運行軟件物料清單（SBOM）或清單文件（manifest），我們所提供的工具就會分析各個平臺層，包括內(nèi)核、用戶空間、庫和其他系統(tǒng)組件，并將其與廣泛的知識庫進(jìn)行比較，從而準(zhǔn)確識別出關(guān)鍵漏洞。這項服務(wù)還可以顯示平臺中包含的許可證，輔助工件（Artifact）生成并滿足合規(guī)性要求。被識別出的漏洞列表可根據(jù)公共漏洞評分系統(tǒng)（CVSS v3）進(jìn)行排名。

此項服務(wù)所采用的知識庫基于精挑細(xì)選的數(shù)據(jù)源而開發(fā)，包括Yocto項目、NIST和風(fēng)河公司的CVE數(shù)據(jù)庫。

凡是希望采取進(jìn)一步措施解決CVE問題的企業(yè)都可以聯(lián)絡(luò)風(fēng)河公司協(xié)助制定緩解計劃。風(fēng)河公司專家可以與各類團(tuán)隊合作，根據(jù)掃描結(jié)果中每個漏洞的嚴(yán)重程度快速確定CVE優(yōu)先級，評估修復(fù)所需的時間和難度，并制定緩解和補(bǔ)救措施。