Wie die Benennung dasjenige Spiel in welcher Sicherheit welcher Softwarelieferkette verändern kann

In vielen Fällen stellt sich nachher welcher Identifizierung einer Sicherheitslücke mit hohem Risiko in einem Produkt eine größere Herausforderung: Wie kann die betroffene Komponente oder dasjenige betroffene Produkt per des zugewiesenen Namens in welcher Patriotisch Vulnerability Database (NVD) identifiziert werden? Dies liegt daran, dass Softwareprodukte in welcher NVD mit einem Common Platform Enumeration (CPE)-Namen identifiziert werden, welcher vom Patriotisch Institute of Standards and Technology (NIST), Teil des US-Handelsministeriums, vergeben wird.

Dies NVD verwendet ein CPE, um Hardware- und Softwarekomponenten basierend hinaus Lieferant, Produkt und Versionszeichenfolge zu identifizieren. Wenn Softwarebenutzer übrig dasjenige NVD feststellen möchten, ob eine Komponente eines von ihnen verwendeten Produkts irgendwelche zugehörigen Schwachstellen aufweist, zu tun sein sie den genauen zugewiesenen CPE-Namen welcher Komponente Kontakt haben. Es ist jedoch oft unmöglich, ein CPE pro eine bestimmte Komponente zu finden, unabhängig davon, ob sie Open Source oder proprietär ist.

Dieses Problem macht es in den meisten Fällen unmöglich, viele welcher pro die Softwaresicherheit erforderlichen Prozesse, wie z. B. dasjenige Erstellen einer Software-Stückliste (SBOM), zuverlässig zu automatisieren.

Warum dasjenige Auffinden von Schwachstellen im NVD schwierig ist

Um den Umfang des Problems zu verstehen, betrachten Sie die folgenden sechs Bedingungen, die es extrem schwierig, wenn nicht unmöglich zeugen, nachher Komponenten- und Produktschwachstellen in welcher NVD zu suchen, da sie sich hinaus CPEs wie einzige Kennung verlässt.

1. Schwachstellen werden im NVD mit einer Common Vulnerabilities and Exposures (CVE)-Nummer identifiziert, z. B. „CVE-2022-12345“, und dasjenige Common Vulnerability Scoring System (CVSS) wird verwendet, um jeder CVE eine Bedrohungsstufe zuzuweisen. Ein CPE wird normalerweise nicht pro ein Softwareprodukt erstellt, solange bis ihm ein CVE zugewiesen wird. Viele Softwareanbieter nach sich ziehen jedoch noch nie eine Schwachstelle gemeldet (die ein CVE generieren würde), sodass pro dasjenige Produkt in welcher NVD nie ein CPE erstellt wurde.

Dies liegt nicht unbedingt daran, dass die Produkte noch nie Schwachstellen aufwiesen, sondern daran, dass welcher Entwickler notfalls keine bestehenden Schwachstellen an die NVD gemeldet hat.

Wie Ergebnis ergibt eine NVD-Suche in den beiden folgenden Szenarien die Erwiderung „Keine übereinstimmenden Datensätze“:

(i) eine Schwachstelle existiert nicht in einem bestimmten Produkt

(ii) eine Schwachstelle existiert, wurde hinwieder noch nie vom Entwickler gemeldet

2. Da im Kontext welcher Input eines neuen CPE-Namens in dasjenige NVD keine Fehlerprüfung durchgeführt wird, ist es möglich, ein Produkt-CPE zu erstellen, dasjenige keiner einheitlichen Namenskonvention folgt. Wenn ein Benutzer mit dem zutreffend angegebenen CPE nachher dem Produkt sucht, erhält er von dort die Fehlermeldung „Es gibt 0 übereinstimmende Datensätze“. Dies ist die gleiche Nachricht, die sie erhalten würden, wenn welcher ursprüngliche CPE-Name (external welcher Spezifikation) verwendet würde, hinwieder keine CVEs dagegen gemeldet wurden.

Wenn ein Benutzer jene Nachricht erhält, könnte dies bedeuten, dass pro dasjenige Produkt, nachher dem er sucht, ein gültiger CPE vorhanden ist, pro dieses Produkt jedoch noch nie ein CVE gemeldet wurde, hinwieder es könnte nicht zuletzt bedeuten, dass welcher eingegebene CPE nicht mit dem CPE übereinstimmt, in dem er eingegeben wurde welcher NVD, und dass tatsächlich CVEs an den (nicht spezifikationsgerechten) CPE-Namen angehängt sind, welcher an die NVD übermittelt wurde.

Die Fehlermeldung „Es gibt 0 übereinstimmende Datensätze“ kann nicht zuletzt hervortreten, wenn ein Benutzer den CPE-Namen in welcher Suchleiste falsch schreibt. In diesem Kern hätte welcher Benutzer keine Möglichkeit zu wissen, dass die Nachricht durch vereinigen Tippfehler generiert wurde, und könnte stattdessen davon erlöschen, dass dasjenige Produkt keine gemeldeten Schwachstellen aufweist.

3. Im Laufe welcher Zeit kann sich ein Produkt- oder Lieferantenname aufgrund einer Unternehmenszusammenschluss oder Entgegennahme ändern, und welcher CPE-Name pro dasjenige Produkt kann sich ebenfalls ändern. Wenn ein Benutzer in diesem Kern nachher dem ursprünglichen CPE und nicht nachher dem neuen CPE sucht, erfährt er nichts übrig neue Schwachstellen. Sie würden wie zuvor die Nachricht “Es gibt 0 übereinstimmende Datensätze” erhalten.

4. Dies gilt nicht zuletzt pro unterschiedliche Variationen von Lieferanten- oder Produktnamen, wie zum Beispiel „Microsoft“ und „Microsoft Inc.“, oder „Microsoft Word“ und „Microsoft Office Word“, etc. Ohne die exakt korrekte Lieferanten- oder Produktname, an Die NVD-Suche liefert falsche Ergebnisse.

5. Identisch Produkt kann mehrere CPE-Namen im NVD nach sich ziehen, wenn sie von verschiedenen Personen eingegeben werden, die jeweils eine andere Iteration verwenden. Dies kann es praktisch unmöglich zeugen, festzustellen, welcher Name richtig ist. Erschwerend kommt hinzu, wenn CVEs pro jede welcher CPE-Varianten eingetragen wurden, führt dies dazu, dass es sich nicht um vereinigen “richtigen” Namen handelt. Ein Paradigma ist OpenSSL (z. B. „OpenSSL“ versus „OpenSSL Framework“). Da kein einzelner CPE-Name ganz OpenSSL-Schwachstellen enthält, zu tun sein Benutzer nachher jeder Variation des Produktnamens separat suchen.

6. In vielen Fällen betrifft eine Schwachstelle nur ein Modul einer Bibliothek. Da CPE-Namen jedoch hinaus welcher Grundlage von Produkten und nicht welcher darin enthaltenen einzelnen Module zugewiesen werden, zu tun sein Benutzer den vollständigen CVE-Mitteilung Vorlesung halten, um festzustellen, welches Modul wehklagend ist. Wenn dies nicht welcher Kern ist, kann dies zu unnötigen Patches oder Schadensbegrenzungen münden, z. B. wenn ein anfälliges Modul nicht in einem verwendeten Softwareprodukt installiert ist, andere Module welcher Bibliothek jedoch schon.

Glücklicherweise arbeitet eine branchenübergreifende Haufen namens SBOM Forum, welcher Mitglieder von OWASP, The Linux Foundation, Oracle und andere Mitglied sein, an dem Problem und hat vereinigen Vorschlag zur Verbesserung welcher Richtigkeit welcher NVD mit Schwerpunkt hinaus moderner, automatisierter Nutzung entwickelt Fälle.

Die Empfehlungen welcher Haufen, einschließlich welcher Vorausnahme einer Päckchen-URL (purl) pro Software und GS1-Standards pro Hardware, sollen vereinigen standardisierten Weg schaffen, um die NVD zuverlässig abzufragen und genaue Informationen übrig Schwachstellen zu erhalten.