При детектировании уязвимостей лучше ориентироваться на информацию о пакетах с исправлениями от Linux вендоров. Т.к. последние цифры в версии пакета ядра (равно как и в uname -r) будут относиться, скорее всего, не к минорной версии самого ядра, а к версии релиза пакета у Linux-вендора. Поэтому надёжно сопоставить их с CPЕ-версией из NVD не получится.
Хороший вопрос. Действительно, есть различные утилиты для проверки уязвимостей для различных платформ. Vulnerability Management решение в общем случае позволяет отслеживать уязвимости единообразным способом для многих платформ, при этом обращение к репозиториям в момент проверки не требуется. Такое решение предоставляет подробную информацию о том, что за уязвимость была найдена, как её можно проэксплуатировать и запатчить и т.д. При работе с утилитами есть свои тонкости, например 'yum list-security' работает в RHEL, но не работает в CentOS. Если в компании зоопарк решений небольшой и не критично ставить все обновления без обязательного тестирования, безусловно можно обойтись и без сканера уязвимостей.
У трех топовых Vulnerability Management вендоров есть облачные решения: Qualys Cloud Platform, Nessus Cloud, Rapid7 Nexpose Now. Причем у Qualys, лидера по объему рынка по версии Gartner-а, облачное решение является основным. У них есть и private cloud это экзотика для очень больших компаний. Это вопрос доверия VM-вендору. Если какая-то компания захочет иметь свой локальный Vulners, чтобы он хостился внутри компании и синхронизировал security content периодически, то думаю вполне реально договориться.
Как альтернативный вариант — можно подмешивать к запросам какие-то несуществующие пакеты, потом исключать их уязимости из результатов. Можно сделать проксирующий сервер, и все запросы пропускать только через него.
Хотелось бы обратить внимание, что 16 апреля DARPA устраивает Robotics Challenge Virtual Proposer Day, на котором будет заявлено множество интересных инициатив в области робототехники.
В частности, подробнее расскажут о соревнованиях DARPA Robotics Challenge. Роботы PETMAN (Tracks B и C) вероятнее всего станут основной стандартной платформы (Government Furnished Equipment), под которую участники соревнований смогут разрабатывать свой софт. Так же будет доступен стимулятор с различными моделями роботов. Приз 2 млн$.
Описание конкурса: www.fbo.gov/index?s=opportunity&mode=form&id=ee8e770bcfe1fe217472342c67d6bd5a&tab=core&_cview=0 Пресс-релиз: www.darpa.mil/NewsEvents/Releases/2012/04/10.aspx
Позволю себе с вами не согласиться. Стоит определиться какие инженеры имеются в виду. Во-первых, стандарт имеет большое значение для инженеров занимающихся разработкой систем compliance management'а. Без поддержки XCCDF разрабатываемое решение не сможет получить статус SCAP-validated продукта, а без этого выход на многие рынки США будет закрыт. Во-вторых, стандарт будет полезен вендорам, которые хотели бы описать рекомендации по безопасной настройке своего программного обеспечения в соответствии с требованиями каких-либо высокоуровневых стандартов (например PCI DSS). Учитывая поддержку XCCDF всеми SCAP-validated продуктами (а их много nvd.nist.gov/scapproducts.cfm), его применение выглядит оправданным. В-третьих, стандарт будет полезен инженерам эксплуатирующим системы compliance management'а для более глубокого понимания каким образом они функционируют, каким образом строятся отчеты. В целом, это нишевая вещь, но доля заинтересованных специалистов, все же превышает одну сотую процента.
Information
Rating
Does not participate
Location
Россия
Registered
Activity
Specialization
Vulnerability Management специалист, Information Security Specialist
При детектировании уязвимостей лучше ориентироваться на информацию о пакетах с исправлениями от Linux вендоров. Т.к. последние цифры в версии пакета ядра (равно как и в uname -r) будут относиться, скорее всего, не к минорной версии самого ядра, а к версии релиза пакета у Linux-вендора. Поэтому надёжно сопоставить их с CPЕ-версией из NVD не получится.
Предполагаю, что в данном случае речь идёт об Ubuntu. Значит смотрим https://ubuntu.com/security/CVE-2024-1086
Если у нас, допустим, Ubuntu 22.04 (Jammy Jellyfish), то эта уязвимость должна быть исправлена в linux-image-5.15.0-101-generic - 5.15.0-101.111
Если у нас установлена бОльшая версия 5.15.0-113-generic, значит уязвимости быть не должно.
Чтобы быть совсем уверенными, можно проверить с помощью OpenSCAP и OVAL-контента от Canonical https://avleonov.com/2022/10/04/how-to-perform-a-free-ubuntu-vulnerability-scan-with-openscap-and-canonicals-official-oval-content/
Как альтернативный вариант — можно подмешивать к запросам какие-то несуществующие пакеты, потом исключать их уязимости из результатов. Можно сделать проксирующий сервер, и все запросы пропускать только через него.
В частности, подробнее расскажут о соревнованиях DARPA Robotics Challenge. Роботы PETMAN (Tracks B и C) вероятнее всего станут основной стандартной платформы (Government Furnished Equipment), под которую участники соревнований смогут разрабатывать свой софт. Так же будет доступен стимулятор с различными моделями роботов. Приз 2 млн$.
Описание конкурса: www.fbo.gov/index?s=opportunity&mode=form&id=ee8e770bcfe1fe217472342c67d6bd5a&tab=core&_cview=0 Пресс-релиз: www.darpa.mil/NewsEvents/Releases/2012/04/10.aspx