Sistem yöneticilerinin her bir danışma belgesini okuması, listelenen ürünleri ve sürümleri kullanıp kullanmadıklarını belirlemesi ve potansiyel risk ile mevcut azaltmaları değerlendirmesi gerekir. Sistemlerinin ifşasına ve iş değerine bağlı olarak, yama yapılıp yapılmayacağına ve ne zaman yama yapılacağına karar verirler.
Güvenlik açığı iyileştirmesini geciktiren ve riski artıran, zaman alıcı bir süreçtir. Satıcılar ve yazılım ve donanım sağlayıcıları, güvenlik açıklarını bu süreci hızlandıracak ve müşterilerin otomasyon kullanmasını sağlayacak şekilde ifşa etmelidir.
Güvenlik Önerileri için Yeni Standart
Ortak Güvenlik Danışma Çerçevesi (CSAF) 2.0, yapılandırılmış makine tarafından okunabilen güvenlik danışma kitaplarının oluşturulmasını ve dağıtımını standartlaştırarak güvenlik açığı yönetiminin otomasyonunu destekler.
CSAF, OASIS Open’ın resmi bir standardıdır. CSAF’yi geliştiren teknik komite, çok sayıda kamu ve özel sektör teknoloji lideri, kullanıcı ve etki sahibi içerir.
Üreticiler, güvenlik tavsiyelerinin biçimini, içeriğini, dağıtımını ve keşfini standart hale getirmek için CSAF’yi kullanabilir. Makine tarafından okunabilen bu JSON belgeleri, yöneticilerin tavsiyelerin bir kullanıcının varlık veritabanıyla veya hatta bir tedarikçinin yazılım malzeme listesi (SBOM) veritabanıyla karşılaştırılmasını otomatikleştirmesini sağlar.
Otomatik sistem, güvenlik açıklarını ilgilenilen ürünlere göre filtreleyebilir ve iş değeri ve riske göre öncelik sırasına koyabilir. Bu, değerlendirme sürecini önemli ölçüde hızlandırır ve yöneticilerin risk yönetimine ve güvenlik açıklarını düzeltmeye odaklanmasını sağlar.
CSAF, VEX ve SBOM’lar
Vulnerability Exploitability Exchange (VEX), CSAF’deki bir profildir. VEX, SBOM topluluğunda, üreticilerin bir ürünün sözde olumsuz güvenlik danışmanlığı yayınlamaktan etkilenmediğini kolayca iletmelerinin bir yolu olarak geliştirildi. VEX belgelerini kullanmak için bir SBOM’a sahip olmak gerekli olmasa da VEX, SBOM’larla çalışacak şekilde tasarlanmıştır.
Bir VEX belgesi, her ürünü etkilediği için her güvenlik açığının durumu hakkında bilgi içermelidir. Bir ürün araştırılıyor, düzeltildi, etkilendiği biliniyor veya etkilenmediği biliniyor olarak işaretlenebilir. Etkilenmediği biliniyor olarak işaretlenen ürünler için VEX, yayıncının bu durum için bir gerekçe eklemesini gerektirir.
Bir güvenlik açığının çeşitli durumlarını (inceleme aşamasında olanlar ve etkilenmeyenler dahil) iletebilmek, müşterilerin satıcı veya üreticileri aramadan bu bilgileri alabileceği anlamına gelir; bu da müşteri desteğini rahatlatacaktır. Ayrıca, müşterilerin güvenlik açığı riskini daha iyi yönetmelerini sağlar.
Bir SBOM ile eşleştirildiğinde, VEX belgeleri yöneticilerin varlık yönetim sistemlerini kullanarak hangi güvenlik açıklarından yararlanılamayacağını hızlı bir şekilde belirlemelerine olanak tanır ve bu da onları işlerini riske atabilecek herhangi bir güvenlik açığına odaklanma özgürlüğüne kavuşturur.
Diğer CSAF Profilleri
VEX, CSAF şemasındaki beş profilden biridir. Her profilin belirli gerekli alanları vardır ve belirli bir ihtiyaca cevap verecek şekilde tasarlanmıştır.
CSAF taban profili, diğer tüm profiller için temel görevi görür. Herhangi bir CSAF belgesi için varsayılan gerekli alanları tanımlar – öncelikle belgenin kendisi hakkında, örneğin kimin yayınladığı, ne zaman yayınlandığı ve revize edilip edilmediği gibi bilgiler.
Güvenlik danışma belgesi profili, bugün çoğu güvenlik danışma belgesinde gördüğümüz bilgileri içerir – güvenlik açığı, etkilenen ürünler ve düzeltmeler hakkında ayrıntılar.
Bilgilendirici danışma profili, yanlış yapılandırma gibi bir güvenlik açığı olmayan bir güvenlik sorunu hakkında bilgi sağlamak için kullanılabilir.
Son olarak, güvenlik olayı müdahale profili, şirkette meydana gelen bir güvenlik ihlali veya olayı hakkında veya başka bir tarafın (yüklenici veya bileşen üreticisi gibi) dahil olduğu bir olayın şirket üzerindeki etkisi hakkında bilgi sağlamak için kullanılabilir.
CSAF Araçları ve Kılavuzu
CSAF, tüketicilerin ve üreticilerin gereksinimleri için doğru aracı bulmalarına yardımcı olan uygunluk hedefleri tanımlar. OASIS CSAF teknik komitesi ayrıca CSAF’yi kullanmak için aşağıdakileri içeren bir dizi araç geliştirdi:
Düzenleyen tarafların eyleme dönüştürülebilir CSAF belgeleri yazmalarına yardımcı olmak için, burada bulunabilecek her alan için rehberlik vardır.