思科换了一种方法 揭露自家产品的安全问题

简介:

思科公司以经过大幅改进的、易于阅读的形式发布安全漏洞报告:

思科公司对自家产品内安全问题的披露方式加以改革

思科公司已经改变了对自家产品内安全漏洞的披露形式。

网络巨头目前已经采取一种新的、据称“经过强化与简化”的自家产品内安全漏洞披露方式。这大新方案使用安全影响评级(即Security Impact Rating,简称SIR)分数来帮助大家了解当前所面临之安全漏洞的严重程度,同时配合CVE系统以及通用安全漏洞报告框架(简称CVRF),旨在以标准化且机器可读之格式对漏洞进行描述。由于相关数据能够为机器所直接读取,因此这类报告将在思科正式发布相关API之后发挥巨大作用——根据该公司的说法,该API“将在未来几个月内推出”。根据网络巨头做出的承诺,该API允许客户“对思科信息及公告进行自主定义,从而满足自身的特定需求。该API还允许客户设定相关规则,从而实现客户自有网络的自动化评估。”总结来讲,这很像是一种“塞入全部已有安全漏洞报告,结合网络实际情况然后告诉用户该怎么做”的傻瓜式解决方案,如果真能达到这样的效果、我们应当为思科鼓掌喝彩。

思科公司已经为其安全漏洞通告采取了一种新的RSS推送方式,其以CVRF格式存在并能够通过一款Python解析工具对内容进行读取,从而最大程度发挥其实际作用。

相关API以及新型格式之所以陆续出现,是因为思科公司的产品安全事件响应小组(即Product Security Incident Response Team,简称PSIRT)“承认过去这方面工作的一致性水平较低,且表示其原先会根据漏洞的具体严重程度采用多种不同的安全问题通知方式。”

而到今天,所有安全漏洞都将得到相同的对待,即在网络之上发布明确的特性及危害介绍,并利用新的SIR机制对其加以评分,其具体分值及等级划分如下:

思科公司对自家产品内安全问题的披露方式加以改革


思科公司做出的这一系列变更显然是对客户反馈的响应。感兴趣的朋友可以(点击此处)查看关于这一新机制的官方描述


原文发布时间为:2015-10-08

本文作者:杨昀煦

本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。






相关文章
|
3月前
|
安全 算法 网络安全
数字堡垒之下:网络安全漏洞与信息保护的博弈
【8月更文挑战第7天】在数字化浪潮中,网络空间成为新的战场。本文深入探讨了网络安全面临的挑战,从漏洞的挖掘到加密技术的演进,再到安全意识的培养,揭示了信息安全领域的复杂性和多维性。文章通过分析最新的攻击手段和防御策略,为读者提供了一份网络安全的知识地图,旨在提升公众对网络威胁的认识,并促进安全文化的建设。
|
3月前
|
SQL 安全 网络安全
数字堡垒之下:网络安全漏洞与信息保护的现代战役
在数字化浪潮中,网络安全成为守护信息资产的关键战场。本文深入剖析网络漏洞的本质、加密技术的演进以及培养安全意识的重要性,旨在为读者提供一场关于如何在日益复杂的网络威胁面前保护个人和企业数据的知识盛宴。
32 0
|
存储 供应链 安全
谷歌拟开发新系统取代 cookie 引广告主担忧
9月20日出版的美国《华尔街日报》印刷版刊登题为《广告主担忧cookie变化》(Advertisers Worry About Changes to 'Cookies')的评论文章称,由于谷歌(903.11, 4.72, 0.53%)考虑用一套新的匿名识别符系统取代传统的cookie追踪技术,令大范围使用这种技术的广告主产生了担忧。虽然这有可能从一定程度上改善cookie系统的缺陷,但仍然面临很多未知因素。
156 0
谷歌拟开发新系统取代 cookie 引广告主担忧
|
安全
安全专家担心Adobe没有足够实力来阻止黑客攻击
多年以来,Adobe系统公司一直在个人计算机行业中静静地偏居一隅。摄影师和设计师利用该公司的软件整理照片和架设网站,各地的人们所交换的电子文档采用的是Adobe设计的文件格式,但他们却并不了解这些软件背后的这家公司。
999 0
微软高层:拟改变支付方式 应对盗版问题
“知识产权受到侵犯的情况对我们而言仍然是一个巨大的问题。”昨日来京的微软首席研究及战略官克瑞格·蒙迪表示。 这位被称为“盖茨接班人”的微软高层透露,未来微软将通过改变支付方式等办法遏制盗版猖獗的现象。
623 0
|
安全 智能硬件 数据安全/隐私保护