常见漏洞和披露 (CVE)#
注意
CVE 信息仅适用于商业或企业级客户。
什么是 CVE?#
CVE 是软件中的弱点,可能被利用来访问敏感信息,例如信用卡号或社保号码。由于现代软件结构复杂,包含多层、相互依赖关系、数据输入和库,漏洞往往会随着时间推移而出现。了解您使用的代码何时以及如何容易受到攻击是一个强大的工具,可以帮助您减轻潜在危害,而 Anaconda 为您提供保持管道安全所需的一切。
要了解有关 CVE 以及 Anaconda 如何缓解和管理它们的更多信息,请观看数据科学现状网络研讨会。
为什么信任 Anaconda?#
Anaconda 定期从国家漏洞数据库 (NVD) 和美国国家标准与技术研究院 (NIST) 获取其 CVE 数据库,以最大限度地减少我们的应用程序和网页中出现漏洞软件的风险。Anaconda 拥有完善且成熟的流程,用于管理 CVE、评估 Anaconda 构建的软件包是否受到任何 CVE 的影响、确定存储库中哪些版本受到影响以及缓解漏洞。
了解 CVE#
以下是您需要了解的内容,以便为您的组织就 CVE 做出正确的决策
通用漏洞评分系统 (CVSS)#
用于确定 CVE 严重性的标准随着时间的推移而不断发展。通用漏洞评分系统 (CVSS)是一种可以追溯到 1999 年的数学方法,用于对漏洞的特征进行评分。CVSS 2 于 2007 年开发并发布。后来在 2015 年更新为 CVSS 3,以提供更全面的评分方法,准确反映现实世界中漏洞的严重性。
CVE 分数#
软件开发人员参考 CVE 数据库和分数,以最大限度地降低在其应用程序或网页中使用易受攻击的组件(软件包和二进制文件)的风险。CVE 分数和评级分为 5 个类别之一
CVE 状态#
CVE 会根据 Anaconda 管理流程被分配一个状态类别。CVE 状态类别包括
已报告 - 此软件包中识别出的漏洞已由 NIST 报告,但尚未经过 Anaconda 团队审核。
活跃 - 此软件包中识别出的漏洞是活跃的,并且可能被利用。
已清除 - 此软件包中识别出的漏洞已进行分析,并确定不适用。
已缓解 - 此软件包中识别出的漏洞已通过代码补丁在此构建中得到主动缓解。
有争议 - 漏洞的合法性受到上游项目维护者或其他社区成员的质疑。
查看 CVE#
注意
并非软件包中存在的所有 CVE 都适用于该软件包中的每个文件。
文件可能与多个 CVE 相关联。
从 通道页面中,选择一个通道以查看其软件包。
选择 CVE 选项卡以查看通道中存在的 CVE 的完整列表。顶部会显示与通道中软件包关联的 CVE 数量摘要以及 CVE 的严重程度级别。
提示
使用底部的导航控件浏览与通道中软件包关联的 CVE。
从 通道页面中,选择一个通道以查看其软件包。
从列表中选择一个软件包。
选择 CVE 选项卡以查看与软件包关联的 CVE 列表。顶部会显示与软件包关联的 CVE 数量摘要及其严重程度级别。
提示
使用底部的导航控件浏览与软件包关联的 CVE。
从 通道页面中,选择一个通道以查看其软件包。
从列表中选择一个软件包。
单击软件包文件旁边显示的 CVE 分数,以查看与该文件关联的 CVE 列表。
使用顶部的过滤器调整显示的 CVE。
注意
默认情况下应用
active过滤器。
提示
通过在 搜索 CVE 字段中输入其名称来搜索 CVE。如果未返回任何匹配项,则该 CVE 不影响通道/软件包/文件。
查看 CVE 信息#
从通道或软件包 CVE 列表中选择一个 CVE 以打开 CVE 信息面板。在这里,您可以查看漏洞的简要概述,以及 Anaconda 管理流程期间创建的注释,以及其 CVSS 2/CVSS 3 分数指标。
提示
单击 以将 CVE 信息面板扩展到全屏。
选择 CVE 文件 选项卡以查看组织内所有通道中每次出现的 CVE 的信息。
