如今，几乎每家发布安全咨询的实体都用自己的格式和结构。此外，大多数安全咨询仅供人员查阅，不可机读。

　　系统管理员不得不亲自阅读每份咨询，确定自己是否在用咨询里列出的产品和版本，然后评估潜在风险和现有缓解措施，再基于自家系统的风险敞口和业务价值，做出是否及何时修复的决策。

　　这个过程十分耗费时间，会延迟漏洞修复和增加风险。软硬件供应商的安全漏洞披露方式应能加速这一过程，并让客户能够采用自动化。

安全咨询新标准

　　通过标准化可机读结构化安全咨询的创建与分发，通用安全咨询框架（CSAF）2.0版能够支持漏洞管理的自动化。

　　CSAF是结构化信息标准促进组织OASIS Open的官方标准，开发CSAF的技术委员会囊括了公共部门和私营部门的技术领导者、用户和具影响力人士。

　　制造商可以用CSAF标准化安全咨询的格式、内容、分发与发现。而有了这些可机读的JSON文档，管理员就能够自动化参照用户的资产数据库甚或供应商的软件物料清单（SBOM）数据库比对安全咨询的过程。

　　这种自动化系统可以基于所关注的产品过滤漏洞，并根据业务价值和风险敞口确定优先级。整个评估过程都能因此而大大提速，管理员也能因而专注风险管理和漏洞修复工作。

CSAF、VEX和SBOM

　　漏洞可利用性数据交换（VEX）是CSAF中的一个配置文件，由SBOM社区开发，供制造商轻松传达产品不受发布所谓负面安全咨询的影响。VEX旨在与SBOM配合使用，但使用VEX文档未必需要SBOM。

　　VEX文档必须包含各个漏洞对每个产品的影响情况。产品可以标记为调查中、已修复、已知受影响或已知未受影响。对于标记为已知未受影响的产品，VEX要求发布者包含标记为此状态的理由。

　　能够传达漏洞的各种状态（包括调查中和未受影响），意味着在不联系供应商或制造商的情况下，客户就能获得这些信息，客户支持方面的压力由而得以缓解。此外，客户还能更好地管理漏洞风险。

　　VEX文档与SBOM配合使用时，管理员可以利用资产管理系统快速确定哪些漏洞是不可利用的，节省出时间来专心处理可能导致业务面临风险的任何漏洞。

其他CSAF配置文件

　　VEX是CSAF框架五个配置文件之一。每个配置文件都有特定的必填字段，用于满足特定需求。

　　CSAF基础配置文件是所有其他配置文件的根基。基础配置文件定义了每个CSAF文档的默认必填字段，主要是关于文档本身的信息，比如文档发布者、发布时间、是否修订过等等。

　　安全咨询配置文件包含当下大多数安全咨询中都有的信息：关于漏洞、受影响产品和修复措施的详细信息。

　　信息咨询配置文件可用于提供有关非漏洞类安全问题（如错误配置）的信息。

　　最后，安全事件响应配置文件可提供的信息涵盖公司所遭安全事件，或涉另一方（如承包商或组件制造商）事件对公司的影响。

CSAF工具和指南

　　CSAF定义了一致性目标，可帮助消费者和生产者找到适合自身需求的工具。OASIS CSAF技术委员会还开发了一套CSAF使用工具，包括：

　　● Secvisogram：在线编辑器，用于创建、更新和查看CSAF文档，也可以生成文档的供人阅读版本。

　　● CSAF CMS后端：CSAF内容管理系统尚未完工的实现。该系统可以提供元数据创建工作流程和自动化，支持CSAF文档的生产者。

　　● CSAF验证器服务：基于REST的服务，实现CSAF完整验证器目标，根据规范测试给定CSAF文件。

　　● CSAF Provider：CSAF Trusted Provider角色的实现，提供基于HTTPS的简单管理服务，作为静态站点生成器按照标准呈现CSAF文件。

　　● CSAF Checker：根据CSAF标准第7节测试CSAF Trusted Provider的工具，在不考虑指定角色的情况下检查要求。

　　● CSAF Downloader：用于从CSAF提供者处下载咨询的工具。

为帮助发布方编写可行CSAF文档，每个字段都有指南，详情参见：
https://secvisogram.github.io/secvisogram-documentation/
CASF 2.0：https://oasis-open.github.io/csaf-documentation/

参考阅读
漏洞管理方案的最佳实践
基于风险的漏洞管理缘何兴起
2022年漏洞管理报告要点梳理
不可利用漏洞造成漏洞管理疲劳