常见漏洞和暴露(CVEs)#
注意
CVE信息仅对商业或企业级客户可用。
什么是CVEs?#
CVEs是软件中的弱点,可以被利用来访问敏感信息,如信用卡号码或社会安全号码。由于现代软件具有许多层次、相互依赖、数据输入和库,因此漏洞往往会随着时间的推移而出现。了解您使用的代码何时以及如何容易受到攻击是一个强大的工具,可以帮助您减轻潜在的危害,而Anaconda为您提供了保持管道安全所需的一切。
要了解更多关于CVEs以及Anaconda如何缓解和管理它们的信息,请观看数据科学现状网络研讨会。
为什么信任Anaconda?#
Anaconda 定期从国家漏洞数据库(NVD)和美国国家标准与技术研究院(NIST)拉取其 CVE 数据库,以尽量减少我们应用程序和网页中易受攻击软件的风险。Anaconda 拥有一个广泛且完善的流程来管理 CVE,评估 Anaconda 构建的软件包是否受到任何 CVE 的影响,确定我们存储库中哪些版本受到影响,并缓解漏洞。
理解CVEs#
以下是您需要了解的关于为您的组织做出正确的CVE决策的内容:
通用漏洞评分系统 (CVSS)#
确定CVE严重程度的标准随着时间的推移而演变。通用漏洞评分系统(CVSS)是一种可以追溯到1999年的数学方法,用于评估漏洞的特性。CVSS 2于2007年开发和推出。随后在2015年更新为CVSS 3,以提供更全面的评分方法,准确反映现实世界中漏洞的严重性。
CVE 分数#
软件开发人员参考CVE数据库和评分,以最小化在其应用程序或网页中使用易受攻击组件(包和二进制文件)的风险。CVE评分和评级分为以下5类之一:
CVE状态#
CVEs 根据 Anaconda 的整理过程被分配一个状态类别。CVE 状态类别包括:
已报告 - 此包中识别的漏洞已由NIST报告,但尚未由Anaconda团队审查。
活跃 - 此包中识别的漏洞是活跃的,并且可能被利用。
已清除 - 已分析并确定此包中识别的漏洞不适用。
已缓解 - 在此构建中,通过代码补丁已主动缓解了此包中识别的漏洞。
争议 - 漏洞的合法性受到上游项目维护者或其他社区成员的争议。
查看CVEs#
注意
并非包中存在的所有CVE都适用于该包中的每个文件。
文件可以与多个CVE关联。
从 频道页面,选择一个频道以查看其包。
选择CVEs选项卡以查看通道中存在的CVE的完整列表。通道中与包关联的CVE数量及其严重性级别的摘要显示在顶部。
提示
使用底部的导航控件浏览与频道中包相关的CVE。
从 频道页面,选择一个频道以查看其包。
从列表中选择一个包。
选择CVEs标签以查看与包相关的CVE列表。顶部显示了与包相关的CVE数量及其严重性级别的摘要。
提示
使用底部的导航控件浏览与包相关的CVE。
从 频道页面,选择一个频道以查看其包。
从列表中选择一个包。
点击包文件旁边显示的CVE分数以查看与该文件相关的CVE列表。
使用顶部的过滤器来调整显示的CVEs。
注意
默认情况下应用了
active过滤器。
提示
通过在搜索CVE字段中输入CVE名称来搜索CVE。如果没有返回匹配项,则该CVE不影响通道/包/文件。
查看CVE信息#
从频道或包的CVEs列表中选择一个CVE以打开CVE信息面板。在这里,您可以查看漏洞的简要概述,包括在Anaconda整理过程中创建的注释,以及其CVSS 2/CVSS 3评分指标。
提示
点击 将CVE信息面板扩展到全屏。
选择CVE文件选项卡,以查看组织内所有渠道中每次出现的CVE的信息。
