根据美国国家漏洞数据库（NVD）数据显示，安全漏洞的数量在过去22年内处于持续增加的状态。

图片来源：NVD

随着安全漏洞数量的持续递增，以及近几年内大型安全漏洞事故的发生，让越来越多的企业意识到漏洞管理计划的重要性。企业也开始加倍加强漏洞管理，确保其免受恶意攻击。为了寻找下一个重大漏洞，恶意攻击者对当前已知漏洞保持密切跟踪。因此企业需要比黑客先行一步，通过漏洞管理流程来检测和修复系统中的安全漏洞。

持续更新漏洞管理计划

漏洞管理计划并不是一个新兴的概念，但在信息科技高速发展的时代背景下，动态软件开发生态系统和不断变化的威胁形势迫使企业将漏洞管理流程维护至最新状态，确保在任何时间出现的漏洞威胁或攻击下能够保障企业系统和软件安全无虞。

漏洞管理计划通常包括检测、优先级策略、修复和报告。 管理计划中的每一个步骤都需要不断更新，来应对新的环境和安全风险，也保证开发和安全团队的工作流程轻松且敏捷。让我们依次来看漏洞管理计划的每个步骤，看看企业应当如何对未知的安全威胁和风险做好应对准备。

漏洞检测：自动化是关键

大部分企业的强制性漏洞管理计划主要依赖于扫描工具。安全团队强制性执行每月/季度的配置审计和网络扫描工作，并产生一系列冗长的审计扫描报告。虽然企业投入大量的时间来尝试验证和解决所有报告的漏洞危险和风险，但由于漏洞数量过于庞大，企业无法彻底解决所有威胁和风险。

鉴于不断发展的开发生态系统、快节奏的开发需求以及已知安全漏洞数量的增加，企业需要采用一种新的漏洞识别方法，以及适用于各种系统和平台的自动扫描工具。

为了更好地面对未来的安全挑战，企业需要明确了解正在使用的软件组件和平台是什么，以及是否包含新发现的漏洞。这需要大量工具来持续跟踪开发环境、产品中的组件、可操作的数据和有关漏洞的建议。

跟踪所有层面的漏洞管理计划

除了保护传统的网络基础设施外，企业还需要确保他们能够有效地扫描更广泛的攻击面，包括云服务和容器等动态资产，以及非常容易受到攻击的数据库层，和需要 SAST 和 DAST 工具的应用层。

此外，开源组件是开发人员在进行开发工作时的重要组成部分，并得到了一个活跃的社区的支持，该社区尽最大努力发现并为项目中的漏洞创建修复程序。想要面对当前和未来威胁的组织必须包括管理开源组件及其风险的专用自动化工具，除了传统的 SAST 和 DAST 工具，企业也需要配合使用软件成分分析（SCA），为企业补充检测、监控和警告易受攻击的开源组件的能力。

执行漏洞优先级策略

传统的漏洞管理计划侧重于识别和检测。然而，如果企业无差别跟踪所有层级和风险，会让企业淹没在安全警报中。并非所有漏洞都需要一视同仁，企业不能盲目地钻研每个新发现的漏洞。因此如果企业想有效保持安全，就必须开始执行漏洞优先级策略。

此外，企业可以选择合适的漏洞管理软件，来帮助团队确定可能对组织造成最大破坏的最大风险的漏洞优先级。包括威胁情报洞察和工具，允许将漏洞数据与风险的评估和修补相结合，以帮助团队根据参数（例如对代码的影响）解决风险最高的问题。

漏洞修复

在确定系统中的哪些安全漏洞是需要关注的之后，企业就需要开始进行修复工作了。对企业而言，制定补丁管理规则，确认及时有效的测试方法，以及确保受到影响的区域应用正确的补丁是至关重要的。

好的漏洞管理解决方案能够帮助企业根据漏洞优先级快速解决安全威胁，并且确保对应修复得到验证，不会破坏构建，且不会干扰其他组件和流程。同时，漏洞修复解决方案应当与所有团队（开发人员、安全和 DevOps）保持同步，从而使整个漏洞管理过程顺利运行。

报告和 SBOM：漏洞管理的重要组成部分

2021年7月，美国国家电信和信息管理局（NTIA）发布了软件物料清单（SBOM）所需的最低要素，以提高技术供应商和政府客户的软件供应链可见性和透明度。这一要求进一步强调了将报告（Reporting）作为全面漏洞管理计划重要组成部分的必要性。而 SBOM 能够轻松反映软件健康状况，并可以用于持续识别和解决供应链漏洞风险，保障软件开发生态系统的安全。

总 结

在未来，漏洞管理有望集成新的自动化解决方案，帮助企业在不牺牲敏捷或效率的情况下管理安全风险。而持续跟踪软件开发生态系统（包括软件供应链），执行优先级策略，且对漏洞进行有效修复和及时生成完整报告的企业，能够更轻松高效地进行软件发布，并且在未来的市场竞争中脱颖而出。

参考链接：
https://www.mend.io/resources/blog/president-executive-order-supply-chain-attacks/