红帽展示如何解决Linux和开源软件的安全问题

一直以来红帽在发现和修复Linux和开放源代码安全漏洞方面拥有着不错的表现。首先，Red Hat产品安全部门负责发现和修复安全漏洞。它不单独做这个。该团队与其他Linux和开源公司及开发人员合作。Linux世界的安全不是秘密完成的，而是在所有相关程序员的充分合作下完成的。

安全团队也是事件响应和安全团队论坛（FIRST）的成员。它为每个漏洞使用行业标准的通用漏洞评分系统（CVSS） -这对于描述攻击的工作方式很有用。所有与Red Hat产品相关的常见漏洞和披露（CVE）均获得  CVSSv3.x评分。但是Red Hat并不使用CVSS来对漏洞进行优先级排序。相反，它使用四点量表来描述特定错误的严重性。

该等级旨在帮助用户确定每个错误给他们带来的风险。红帽的四点评分率漏洞有：低，中，重要或严重。严重漏洞对企业构成了最严重的风险。严重漏洞可以通过网络或Internet进行远程利用，并且可以自动进行（例如，通过蠕虫进行）。红帽还包含一些影响Web浏览器或浏览器插件的漏洞，如果用户访问恶意或受感染的网站，这些漏洞可能会受到影响。其他开源公司也使用类似的规模。

在刚刚发布的《 2019年红帽产品安全报告》中，红帽表示，看到越来越多的客户试图通过使用第三方扫描仪来解决日益严重的安全问题。虽然扫描工具可以提供整个企业环境中漏洞的有用的'单一窗格'视图，但是它们通常在阐明特定于技术或实施的风险方面做得很差。

因此，Red Hat Engineering和Red Hat Product Security都准确地解释了安全问题的含义，并通过回归测试，强化和调整程序包来满足客户的独特业务需求和发布标准，使Red Hat的“上游程序包可用于企业级” 。”

为了帮助改进此过程，Red Hat对Red Hat Enterprise Linux（RHEL）支持生命周期进行了相当大的更改。因为 RHEL是我们所有产品和服务的基础，所以我们认为扩大支持范围非常重要。

因此，RHEL现在包括针对重要级问题的补丁和修复程序，这些问题通常涵盖了最大比例的问题。以前，红帽对于在RHEL的扩展更新支持中解决了哪些重要级问题更具选择性。

总体而言，2019年Red Hat报告：

向Red Hat Product Security报告了2714个安全问题（比2018年略有下降）。

2019年全年解决了1,313个CVE，比2018年增加了3.2％。

发布了968个Red Hat安全公告（RHSA），比往年增加了创纪录的水平。

解决了27个严重漏洞的40个严重咨询。

1个工作日内解决了41％的关键问题。

1周内解决了85％的关键问题。

要维护整个红帽软件生态系统的安全，更不用说如何跨越独立服务器、容器和云计算，这是一项艰巨的任务。