什么是脆弱性扫描？

　　摘要：本文试图从多个角度探索与漏洞扫描业务有关的许多基本问题。

　　关于漏洞（也称为脆弱性，英语对应于脆弱性）的定义许多定义，在国内外和国外的标准和标准中，摘录如下：

　　互联网工程任务组RFC4949 [1]：在系统设计，部署，操作和管理中，它可以用于违反系统安全策略的缺陷或弱点。

　　中国国家标准信息安全技术网络安全漏洞标识和说明规范GB/T 28458-2020 [2]：网络安全漏洞是需求分析，设计，分配，测试，操作，维护等的网络产品和服务可能使用的非义务或故意缺陷或弱点。

　　中国标准信息安全技术-GB/T 25069-2010 [3]：脆弱性是可能威胁到资产的弱点。

　　国家标准和技术研究所NIST [4]：实施过程中可能威胁或触发的信息系统，系统安全法规，内部控制或弱点。

　　国际标准化的组织信息安全管理系统ISO27000 [5]：一个或多个资产或控制中的威胁可能使用的弱点。

　　国际标准化的组织 - 泄露性披露ISO29147 [6]：违反违反安全策略的产品或服务的功能行为。

　　Wikipedia [7]：在计算机安全中，漏洞是威胁可以使用的弱点。例如，攻击者可以使用漏洞越过计算机系统中的功率边界。

　　百度百科全书[8]：漏洞是硬件，软件和协议或系统安全策略的特定实现中的缺陷，可以使攻击者无权访问或破坏系统。

　　可以从各种定义中获得的一系列常见描述：系统缺陷/弱点，可用于违反安全策略并可能导致系统安全性被破坏。验证涉及各种类型的管理，物理和技术。我们说的脆弱性通常是指技术的脆弱性。

　　对于已公开披露的漏洞：

　　CVE Project [9]列举了CVE漏洞的沟通共识，更好的识别，定义和修复，以实现通信共识，更好的识别，定义和修复，MITER引发的公共脆弱性[9]列举了，该公共漏洞[9]可以分配典型的软件和硬件产品/，以实现已知漏洞的公共漏洞，通常会描述CVE数字，通常会描述CVE数字，通常会描述CVE数字，通常会描述CVE数字，通常会描述CVE数字，通常会描述CVE数字，通常会描述CVE数字，通常会描述CVE数字，通常会描述CVE数字，通常可以分配已知漏洞公共组成部分已知漏洞是CVE唯一的CVE数字，这种方法已得到全球主流IT制造商/组织的支持（截至目前，世界上有近200个CVE数字授权机构[10]），CVE已成为国际事实标准行业。

　　应该补充的是，国家脆弱性图书馆NVD [11]与CVE兼容，并提供了几个增强的信息：例如漏洞的分类，影响水平和受影响的供应商产品版本。CVE的价值是支持公共安全预警。和协作维修。它通常不包含漏洞。受欢迎的描述是：XX供应商的XX版本在XX产品的XX版本上具有XX已知漏洞，影响得分XX点。如果您使用受影响的产品版本，请尽快维修！维修版本为XX！它也基于CVE脆弱性基本上具有成熟的维修或缓解解决方案以帮助减少受影响用户的不必要损害的正面警告属性。

　　此外，中国的国家信息安全脆弱性CNNVD [12]也与CVE兼容，但它使用了CNNVD编号，这是准确的年度和月份。例如：CNNVD编号CNNVD-202110-1568映射到CVE号CVE-2021-22965，描述了相同的漏洞。

　　已披露的漏洞仅是冰山一角，主要涉及公共商业软件和硬件产品或个人或企业的开源软件/组件。对于软件和硬件的不同使用方案，一些已知漏洞只会仅限被披露甚至披露。有关软件和硬件系统的复杂性和多样性，漏洞将更多。行业安全研究人员和软件制造商的测试部门每天都在发现新的漏洞，就像每位新患者都会发现新患者一样天。

　　对于未公开披露的漏洞：

　　通常使用类型描述，而不是不分配特定的CVE编号。当前CWE项目中的900个小型类别比软件开发相关的400多个小型类别和40个类别。缺陷是漏洞的根本原因，因此每个CVE编号都可以映射到一个或多个CWE号。类型描述的其他典型用途也是Web应用程序系统的OWASP前10个[14]。

　　更典型的是，基于特定业务应用程序的漏洞将永远不会被主动披露，并且只会悄悄地修复。这是为了避免企业业务形象的损害。此外，由于业务应用程序通常不是标准产品，因此它们是独一无二的，并且不涉及协作维修的属性（即使它们参与其中，它们都在小范围内）。除非已经使用并造成了公共损失，否则必须披露。了解这些负面信息的人越少。

　　大多数行业规格或标准中使用的相关概念是漏洞评估，直接扫描漏洞作为选择和要求。

　　以国际标准ISO/IEC27005 [15]为例，信息安全风险管理的附录D2中给出了相关描述：评估技术脆弱性的方法是什么？给出的第一个建议是“使用自动化脆弱性扫描工具”，，其他三个建议是：安全测试评估，渗透测试和代码审核。

　　在中国国家标准GB/T 28449的“附录E和其他”附录E和其他“附录E”的“ E.4测试”部分中，它明确指出，服务器，数据库管理系统，网络设备，安全性，安全性设备，应用系统等。需要扫描。此外，有必要分析应用系统的完整性和机密性；需要系统的内部和外部渗透攻击。

　　

　　安全评估应用漏洞

　　从外部和内部扫描系统脆弱性

　　因此，作者认为漏洞扫描是指通过工具扫描遥控器或本地操作的行为，以实现快速识别系统中已知或未知漏洞的目的。它的关键是工具识别漏洞并减少漏洞识别漏洞的人工参与和技术阈值。验证性扫描是一种脆弱性评估的方法。胶合性扫描通常是渗透测试的方型。

　　工具，AST工具用于测试应用程序的未知安全缺陷。SCA工具用于发现静态软件中引用的开源组件的已知漏洞。VA工具通常用于发现动态操作系统中是否存在已知漏洞。

　　根据扫描对象的不同状态，可以将其分为静态工具和动态工具，静态工具扫描源代码或二进制袋，以及动态工具扫描和运行系统。静态工具包括静态静态工具（SAST），源SCA工具，二进制SCA工具。淋巴工具包括交互式互动式播种工具（iAST），动态动态式工具工具（DAST），模糊测试工具，脆弱性评估工具。系统上网后通常使用的工具是：DAST工具和VA工具，这也在PCI DSS实践指南中列出。

　　脆弱性扫描可以找到漏洞。扫描结果可用于支持漏洞评估，脆弱性修复和风险评估以降低系统安全的风险。还有其他目的吗？并倾听下一次分解。

　　本文分享了华为云社区的诚意，作者：水^3。