全球领先的关键任务智能系统软件提供商风河公司宣布推出Wind River Studio Linux Security Scanning Service（安全性扫描服务），目前无需付费即可提供专业级扫描以便发现公共漏洞与暴露（CVE）。此项服务针对嵌入式Linux开发而做了专门调整，还可标识出某项特定CVE是否已经具备可用的修复解决方案，包括来自风河公司的修复和补丁。

风河公司首席客户官Amit Ronen指出：“在高度互联且十分复杂的计算环境中，安全漏洞变得越来越泛滥，对CVE的监控和管理必须及时高效，这项工作必须列入最高优先级。市场和客户急切需求添加新功能、更快投入运营并确保安全稳定性，导致CVE往往在维护生命周期中难以充分顾及。凭借我们多年的Linux经验和专业积累，Studio Linux Security Scanning Service（安全性扫描服务）可以帮助开发人员快速识别高风险漏洞，对修复工作进行优先级划分，从而提升Linux相关设备和系统的安全性。”

开发人员在扫描服务中只需运行软件物料清单（SBOM）或清单文件（manifest），我们所提供的工具就会分析各个平台层，包括内核、用户空间、库和其他系统组件，并将其与广泛的知识库进行比较，从而准确识别出关键漏洞。这项服务还可以显示平台中包含的许可证，辅助工件（Artifact）生成并满足合规性要求。被识别出的漏洞列表可根据公共漏洞评分系统（CVSS v3）进行排名。

此项服务所采用的知识库基于精挑细选的数据源而开发，包括Yocto项目、NIST和风河公司的CVE数据库。

凡是希望采取进一步措施解决CVE问题的企业都可以联络风河公司协助制定缓解计划。风河公司专家可以与各类团队合作，根据扫描结果中每个漏洞的严重程度快速确定CVE优先级，评估修复所需的时间和难度，并制定缓解和补救措施。

供稿：风河