从事件响应者到安全管家：我了解 Red Hat 开放式漏洞管理方法的旅程

Source: Red Hat Blog

引言

多年来，我的网络安全职业生涯一直被紧迫感和关键性所定义。作为事件响应团队的负责人，我身处前线，持续应对最新的软件漏洞、网络攻击和异常情况。我的日子充斥着警报、补丁部署以及不断减轻风险、恢复业务的压力。这是一个充满挑战、高风险的环境，每一个漏洞都像是直接的威胁。

现在，我已经从即时的“灭火”工作转向 Red Hat 产品安全部门的管理岗位，进入了一个更具前瞻性的战场。这一转变为我提供了独特的视角——从事后处理漏洞转向从根本上了解漏洞的管理方式。我发现这不仅是一套流程，更是一种哲学，它与我的过去经验产生共鸣，并为开源世界的安全提供了一种耳目一新的方法。

Red Hat 漏洞管理的 5 大不同之处

Red Hat 的方法不仅仅是发现和修复缺陷，而是智能、透明、以用户为中心的风险管理。经过无数漏洞通告和补丁周期的观察，我可以自信地说 Red Hat 在以下几个方面表现卓越。

1. 基于风险的优先级，而非仅仅 CVSS 分数

许多组织执着于原始的 Common Vulnerability Scoring System（CVSS）分数。虽然 CVSS 是关键的技术指标，但 Red Hat 强调，仅凭 CVSS 基础分数并不能直接映射风险。我们的 Red Hat 严重性评级——低、中等、重要、关键——才是真正的指引之星。

这种细致的做法会考虑软件在 Red Hat 生态系统中的构建、打包和配置方式，使您能够聚焦对特定部署构成最大威胁的漏洞。

2. 智能的修复延期

Red Hat 明确表示，对低严重性以及较低的中等严重性问题的修复通常会推迟到下一个主要或次要产品版本。这一经过计算的决定可以防止“补丁疲劳”和不必要的中断，让您将资源集中在关键和重要问题上，从而实现更稳定、更安全的环境。

3. 通过扫描器认证对抗误报

处理漏洞扫描器的误报令人沮丧。Red Hat 通过 漏洞扫描器认证 项目来解决此问题，该项目验证第三方工具能够正确解释 Red Hat 的回溯策略和权威数据，显著降低噪声并突出真实威胁。

4. 透明度与现代数据交换（CSAF VEX）

Red Hat 采用 Common Security Advisory Framework Vulnerability Exploitability eXchange (CSAF VEX) 标准，为每个漏洞提供机器可读的状态——例如 “已修复”、 “已知不受影响” 或 “正在调查”。这种清晰度使漏洞管理更加精确高效。

5. 容器健康指数（CHI）

旧的、未打补丁的容器风险极大。CHI 根据可用但未应用修复的年龄和严重性对容器镜像进行评分，为您提供可操作的容器安全姿态指示。拥有关键未修复缺陷的镜像可以被快速识别并进行修复，从而降低整体容器风险。

展望未来：Red Hat 对安全和 AI 的承诺

随着 AI 快速融入企业解决方案，潜在攻击面也随之大幅扩大。Red Hat 已经通过将 受支持 AI 模型的安全性 纳入我们的漏洞管理框架来应对这一挑战。我们为 AI 定义了机密性、完整性和可用性方面的关注点——从模型意外泄露个人身份信息（PII）到实现 对抗性微调 等。

这种前瞻性的姿态意味着采用 Red Hat AI 解决方案的组织可以确信安全已在基础层面得到充分考虑。

结语

在一个常常以被动措施为特征的行业中，Red Hat 对漏洞管理的开放方法是主动且具战略性的，建立在智能优先级、透明度以及对运营现实深刻理解的基础上。作为从“前线”转变为 Red Hat 产品安全管家的我，亲身感受到这种方法如何帮助客户构建并维护更强的安全姿态，即使威胁形势持续演变。

了解更多

想了解我们的工作方法吗？阅读我们的白皮书《An Open Approach to Vulnerability Management》，深入了解我们如何评估和管理安全缺陷。