「 网络安全常用术语解读 」通用安全通告框架CSAF详解

1. 简介

通用安全通告框架(Common Security Advisory Framework,CSAF)通过标准化结构化机器可读安全咨询的创建和分发,支持漏洞管理的自动化。CSAF是OASIS公开的官方标准。开发CSAF的技术委员会包括许多公共和私营部门的技术领导者、用户和影响者。CSAF最新版本为2022年11月18日发布的2.0版本。点此获取 (访问密码: 6277)

在这里插入图片描述

提供商可以使用CSAF来标准化安全咨询的格式、内容、分发和发现。这些机器可读的JSON文档使管理员能够自动将安全通告与用户的资产数据库甚至供应商的软件材料清单(SBOM)数据库进行比较

2. CASF主要内容

CASF涉及的主要模板如下:

"$defs": {
"acknowledgments_t": {
// ...
},
"branches_t": {
// ...
},
"full_product_name_t": {
// ...
},
"lang_t": {
// ...
},
"notes_t": {
// ...
},
"product_group_id_t": {
// ...
},
"product_groups_t": {
// ...
},
"product_id_t": {
// ...
},
"products_t": {
// ...
},
"references_t": {
// ...
},
"version_t": {
// ...
}
},

熟悉CVRF的同学都知道,CASF 是 CVRF的演进升级,主要内容与CVRF差不多。可以通过CVRF CSAF converter开源工具实现CVRF到CASF的转换。工具地址:https://github.com/csaf-tools/CVRF-CSAF-Converter

若想了解更多关于CVRF的信息,可以参阅博主前期文章《「 网络安全常用术语解读 」通用漏洞报告框架CVRF详解》

若想了解更多CASF规范细节,可以参阅如下官方文档(共计123页):

  • Common Security Advisory Framework Version 2.0.pdf (访问密码: 6277)

在这里插入图片描述

3. CSAF工具和指南

CSAF定义了一致性目标,帮助消费者和生产者找到适合他们需求的工具。OASIS CSAF技术委员会还开发了一套使用CSAF的工具,可以提供给用户和安全通告商使用:

  • CSAF Downloader是一个用于从CSAF提供商下载咨询的工具。
  • Secvisogram是一个在线编辑器,用于创建、更新和查看CSAF文档。它还可以生成文档的人类可读版本。
  • CSAF CMS Backend是一个正在进行中的CSAF内容管理系统的实现。该系统将通过提供元数据创建的工作流程和自动化来支持CSAF文档的制作者。
  • CSAF Validator Service 是一种基于REST的服务,用于实现CSAF完整验证器目标。它根据规范测试给定的CSAF文件。
  • CSAF Provider是CSAF Trusted Provider角色的实现,并提供简单的基于HTTPS的管理服务。它充当一个静态站点生成器,按照标准的要求呈现CSAF文件。
  • CSAF Checker是根据CSAF标准第7节测试CSAF可信提供商的工具。它在不考虑指定角色的情况下检查需求。

4. 参考

[1] https://www.darkreading.com/threat-intelligence/csaf-is-the-future-of-vulnerability-management
[2] https://github.com/csaf-poc/csaf_distribution/tree/main

推荐阅读:

  • 「 网络安全常用术语解读 」软件物料清单SBOM详解
  • 「 网络安全常用术语解读 」SBOM主流格式CycloneDX详解
  • 「 网络安全常用术语解读 」SBOM主流格式SPDX详解
  • 「 网络安全常用术语解读 」SBOM主流格式CycloneDX详解
  • 「 网络安全常用术语解读 」漏洞利用交换VEX详解
  • 「 网络安全常用术语解读 」软件成分分析SCA详解:从发展背景到技术原理再到业界常用检测工具推荐
  • 「 网络安全常用术语解读 」什么是0day、1day、nday漏洞
  • 「 网络安全常用术语解读 」软件物料清单SBOM详解
  • 「 网络安全常用术语解读 」杀链Kill Chain详解
  • 「 网络安全常用术语解读 」点击劫持Clickjacking详解
  • 「 网络安全常用术语解读 」悬空标记注入详解
  • 「 网络安全常用术语解读 」内容安全策略CSP详解
  • 「 网络安全常用术语解读 」同源策略SOP详解
  • 「 网络安全常用术语解读 」静态分析结果交换格式SARIF详解
  • 「 网络安全常用术语解读 」安全自动化协议SCAP详解
  • 「 网络安全常用术语解读 」通用平台枚举CPE详解
  • 「 网络安全常用术语解读 」通用缺陷枚举CWE详解
  • 「 网络安全常用术语解读 」通用漏洞披露CVE详解
  • 「 网络安全常用术语解读 」通用配置枚举CCE详解
  • 「 网络安全常用术语解读 」通用漏洞评分系统CVSS详解
  • 「 网络安全常用术语解读 」通用漏洞报告框架CVRF详解
  • 「 网络安全常用术语解读 」通用安全通告框架CSAF详解
  • 「 网络安全常用术语解读 」漏洞利用交换VEX详解
  • 「 网络安全常用术语解读 」软件成分分析SCA详解:从发展背景到技术原理再到业界常用检测工具推荐
  • 「 网络安全常用术语解读 」通用攻击模式枚举和分类CAPEC详解
  • 「 网络安全常用术语解读 」网络攻击者的战术、技术和常识知识库ATT&CK详解

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/6827.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

如何使用预训练的通用音频表示进行心脏杂音检测

如何使用预训练的通用音频表示进行心脏杂音检测

心脏杂音检测是心血管疾病诊断中的一个重要方面,通过听诊器进行检查是常见方法,但对临床医生的经验依赖很大。为了减少心脏声音解释中对熟练临床医生的需求,探索自动化心脏听诊的深度学习方法很有必要。然而,尽管深度学习模型通常…
阅读更多...
Redis Cluster集群方案什么情况下会导致整个集群不可用?

Redis Cluster集群方案什么情况下会导致整个集群不可用?

Redis 没有使用哈希一致性算法,而是使用哈希槽。 Redis 中的哈希槽一共有16384个,计算给定 密钥的哈希槽,我们只需要对密钥的 CRC16 去取 16384。假设集群中有A、B、C三个集群节点, 不存在复制模式下,每个集群的节点包…
阅读更多...
、、、、、

、、、、、

、、 、 transient 关键字总结 1)transient修饰的变量不能被序列化;2)transient只作用于实现 Serializable 接口;3)transient只能用来修饰普通成员变量字段;4)不管有没有 transient 修饰&…
阅读更多...
网络工程师必学知识:SSH登录抓包分析报文交互过程

网络工程师必学知识:SSH登录抓包分析报文交互过程

网络工程师必学知识:SSH登录抓包分析报文交互过程 1.概述:2.SSH传输层协议:3.SSH用户认证协议:4.SSH连接协议:5.抓包看看:6.总结:1.概述: SSH(Secure Shell ,安全外壳协议),就是在不安全的协议外层再加一层安全外壳。比如说telnet+SSH=stelnet。 SSH由三个组件构成:…
阅读更多...
ASP.NET网上书店

ASP.NET网上书店

摘要 本设计尝试用ASP.NET在网络上架构一个电子书城,以使每一位顾客不用出门在家里就能够通过上网来轻松购书。本文从理论和实践两个角度出发,对一个具有数据挖掘功能电子书城进行设计与实现分析。论文首先较为详尽地介绍了面向对象分析与设计的有关概念…
阅读更多...
C++实验五 : 类的继承 -----CUST

C++实验五 : 类的继承 -----CUST

【题目】 1.定义person类,包括数据私有成员:姓名,性别;共用成员函数:带参数构造函数,display函数输出本类对象的所有数据成员值。 2.定义student类,保护继承person类;增加保护数据成…
阅读更多...
docker desktop实战部署oracle篇

docker desktop实战部署oracle篇

1、前言 oracle数据库官方已提供现成的镜像,可以直接拿来部署了。 由于项目中需要使用oracle数据库的分表功能,之前安装的是standard版本,无奈只能重新安装。网上查了一番,使用的方法都比较传统老旧:下载安装包手动安…
阅读更多...
golang获取变量动态类型

golang获取变量动态类型

类型断言:data.(Type) 类型断言是最常用的获取变量动态类型的方法之一。允许在运行时将接口值转换为其具体类型。 data 是一个接口类型的变量。 Type 是一个具体的类型。 这个表达式的含义是,如果 data 的底层值是 Type 类型,那么 value 将接…
阅读更多...
深度学习之GAN网络

深度学习之GAN网络

目录 关于GAN网络 关于生成模型和判别模型 GAN网路的特性和搭建步骤(以手写字体识别数据集为例) 搭建步骤 特性 GAN的目标函数(损失函数) 目标函数原理 torch.nn.BCELoss(实际应用的损失函数) 代码…
阅读更多...
百度下拉框负面信息如何删除?

百度下拉框负面信息如何删除?

百度头条360等搜索引擎,作为人们获取信息的主要途径之一。然而,一些知名的企业或个人可能会面临在搜索的下拉框中出现负面信息的问题,这可能对其声誉和形象造成不良影响。小马识途营销顾问根据自身从业经验,针对这类情况提出以下建…
阅读更多...
轻盈高效开源的WEB在线客服平台:Go-Fly

轻盈高效开源的WEB在线客服平台:Go-Fly

Go-Fly:即刻沟通,非凡服务,轻松连接每一个对话,让客服日常更简单高效!- 精选真开源,释放新价值。 概览 Go-Fly 是一款基于 Go 语言 构建的开源即时通讯与客服管理系统,专为寻求高效、可定制在线…
阅读更多...
网安学习笔记day-15,交换机工作原理

网安学习笔记day-15,交换机工作原理

交换机工作原理 交换机是二层设备,基于MAC表工作。 MAC地址是有48位二进制组成,也就是6字节,通常分为6段,用十六进制表示。 交换机通信方式: 单播:点对点发送数据 广播:向所有设备发送数据…
阅读更多...
【c++算法篇】双指针(上)

【c++算法篇】双指针(上)

🔥个人主页:Quitecoder 🔥专栏:算法笔记仓 朋友们大家好啊,本篇文章我们来到算法的双指针部分 目录 1.移动零2.复写零3.快乐数4.盛水最多的容器 1.移动零 题目链接:283.移动零 题目描述: 算法…
阅读更多...
【Linux】进程控制 之 进程创建 进程终止 进程等待 进程替换

【Linux】进程控制 之 进程创建 进程终止 进程等待 进程替换

👦个人主页:Weraphael ✍🏻作者简介:目前正在学习c和算法 ✈️专栏:Linux 🐋 希望大家多多支持,咱一起进步!😁 如果文章有啥瑕疵,希望大佬指点一二 如果文章对…
阅读更多...
A股上市公司财务松弛数据集(2000-2022年)

A股上市公司财务松弛数据集(2000-2022年)

01、数据介绍 财务松弛是指企业在运营过程中,由于各种原因导致其财务状况出现一定程度的松弛或宽裕状态。这种状态通常表现为企业持有较多的现金和流动性资产,同时负债相对较少,或者企业有较多的未使用授信额度等。 本数据包括:…
阅读更多...
【LeetCode】链表oj专题

【LeetCode】链表oj专题

前言 经过前面的学习,咋们已经学完了链表相关知识,这时候不妨来几道链表算法题来巩固一下吧! 如果有不懂的可翻阅之前文章哦! 个人主页:小八哥向前冲~-CSDN博客 数据结构专栏:数据结构【c语言版】_小八哥…
阅读更多...
SQL注入基础-5

SQL注入基础-5

一、Access注入 1、asp网站常用数据库:access,mssql 2、access数据库 (1)没有库,没有端口 (2)结构:表--》字段--》数据 3、注入流程: 判断类型判断表名:遍历、爆破判断列名判断列名下的数据长度查出数…
阅读更多...
【管理篇】如何处理团队里的老资格员工和高能力员工?

【管理篇】如何处理团队里的老资格员工和高能力员工?

目录标题 两类员工对比🤺老资格员工高能力员工 作为领导你应该怎么做? 在管理团队时,处理老资格员工和高能力员工是一项至关重要的任务。这两类员工在团队中扮演着不同的角色和有着不同的需求,因此需要针对性的管理和激励。下面将…
阅读更多...
漫谈音频深度伪造技术

漫谈音频深度伪造技术

作为人工智能时代的新型媒体合成技术,深度伪造技术近年来在网络媒体中的涉及领域越发广泛、出现频次越发频繁。据路透社报道,2023年,社交媒体网站上发布50万个深度伪造的语音和视频。 1、深度伪造技术的五个方面 音频深度伪造技术&#xff…
阅读更多...
Java八股文3

Java八股文3

3.垃圾回收 1.对象什么时候可以被垃圾器回收 1.垃圾回收的概念 为了让程序员更专注于代码的实现,而不用过多的考虑内存释放的问题,所以, 在Java语言中,有了自动的垃圾回收机制,也就是我们熟悉的GC(Garbage Collection)…
阅读更多...
最新文章

Copyright @ 2022~2023