반응형
기사 한줄요약('22.12.15.) :
취약점 관리를 위해서 NVD(국가 취약점 데이터베이스)를 이용해 SW에 고유의 CPE 번호 부여가 중요한데 CPE번호 부여하고 명명하는 데에 수많은 문제점들이 있어 취약점 관리 시스템의 관리가 어렵다고 한다.
[현존하는 취약점 관리 시스템 문제점]
1. NVD가 CVE를 부여하지만 공급기 한 번도 취약점을 등록하지 않고, CVE번호 발행이 된 적이 없으면 NVD가 존재하지 않음
2. CPE 이름을 등록할 때 오류 확인 기능이 존재하지 않음
3. 시간이 지나며 제품 및 회사 이름 변경
4. 기업을 명칭 하는데 다양판 이름이 있음
5. 다양한 사람들이 중구난방으로 CPE를 등록하여 하나의 제품이 여러 개의 CPE 존재 가능
6. 취약점들은 모듈 하나의 라이브러리에 영향을 미치나 CPE는 전체 이름을 나타내 취약점 정보를 얻기 위해 보고서 전체를 읽어야 함.
문가용, 현존하는 취약점 관리 체제의 진짜 문제는 작명 방식에 있다, 보안뉴스, https://m.boannews.com/html/detail.html?idx=112475
현존하는 취약점 관리 체제의 진짜 문제는 작명 방식에 있다
취약점이 발견됐다면, 그 다음부터가 더 문제다. 그 취약점의 영향을 받는 소프트웨어 구성 요소나 제품을, 취약점 관리 주체인 NVD(국가 취약점 데이터베이스)가 어떤 이름으로 부르느냐를 알아
m.boannews.com
반응형
