CVE (Common Vulnerabilities and Exposures)
CVE ແມ່ນລະບົບການຕັ້ງຊື່ສາກົນທີ່ກຳນົດໝາຍເລກລະບຸຕົວຕົນທີ່ບໍ່ຊ້ຳກັນ (CVE-ID) ໃຫ້ກັບຊ່ອງໂຫວ່ຂອງຊອບແວທີ່ຖືກເປີດເຜີຍ, ເຊິ່ງເຮັດໜ້າທີ່ເປັນພາສາກາງສຳລັບຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພໃນການອ້າງອີງເຖິງຊ່ອງໂຫວ່ຕ່າງໆຢ່າງຖືກຕ້ອງ.
ກົນໄກການຕັ້ງຊື່ໃຫ້ກັບຊ່ອງໂຫວ່ (Vulnerability)
"ຊ່ອງໂຫວ່ນັ້ນ", "ອັນທີ່ກ່ຽວກັບ Apache" — ການສັ່ງການທີ່ບໍ່ຊັດເຈນແບບນີ້ ບໍ່ສາມາດເຮັດໃຫ້ການຮັບມືດ້ານຄວາມປອດໄພດຳເນີນໄປໄດ້. CVE ແມ່ນກົນໄກສາກົນທີ່ກຳນົດໝາຍເລກລະບຸຕົວຕົນທີ່ບໍ່ຊ້ຳກັນ ເຊັ່ນ CVE-2024-12345 ໃຫ້ກັບຊ່ອງໂຫວ່ທີ່ຖືກເປີດເຜີຍ ເພື່ອໃຫ້ຜູ້ພັດທະນາ, ຜູ້ຂາຍຊອບແວດ້ານຄວາມປອດໄພ, ທີມງານປະຕິບັດງານ ແລະ ໜ່ວຍງານກຳກັບດູແລ ສາມາດປຶກສາຫາລືກ່ຽວກັບຊ່ອງໂຫວ່ດຽວກັນໄດ້ໂດຍບໍ່ມີຄວາມເຂົ້າໃຈຜິດ.
ການດຳເນີນງານແມ່ນຢູ່ພາຍໃຕ້ການດູແລຂອງ MITRE ເຊິ່ງເປັນອົງການບໍ່ຫວັງຜົນກຳໄລຂອງສະຫະລັດອາເມລິກາ ໂດຍມີຜູ້ຂາຍຊອບແວ (Vendor) ແລະ ສະຖາບັນວິໄຈຕ່າງໆ ເປັນ CNA (CVE Numbering Authority) ທີ່ມີສິດໃນການອອກໝາຍເລກ ID. ນັບຮອດປີ 2024, ຈຳນວນ CNA ໄດ້ຂະຫຍາຍຕົວໄປເຖິງຫຼາຍກວ່າ 400 ອົງການ, ເຮັດໃຫ້ໄລຍະເວລາ (Lead time) ຈາກການລາຍງານຊ່ອງໂຫວ່ຈົນເຖິງການອອກ ID ມີທ່າອ່ຽງສັ້ນລົງ.
ວິທີການອ່ານ CVE-ID
ຮູບແບບແມ່ນ CVE-YYYY-NNNNN ໂດຍທີ່ YYYY ແມ່ນປີທີ່ອອກໝາຍເລກ ແລະ NNNNN ແມ່ນເລກລຳດັບ. ສິ່ງທີ່ຄວນສັງເກດຄື ປີທີ່ອອກໝາຍເລກບໍ່ແມ່ນປີທີ່ຄົ້ນພົບຊ່ອງໂຫວ່ ຫຼື ປີທີ່ເປີດເຜີຍຂໍ້ມູນ ແຕ່ເປັນປີທີ່ ID ຖືກຈອງໄວ້. ເນື່ອງຈາກມີຊ່ອງຫວ່າງທາງເວລາລະຫວ່າງການຈອງໝາຍເລກ ແລະ ການເປີດເຜີຍຂໍ້ມູນ, ຈຶ່ງບໍ່ແມ່ນເລື່ອງແປກທີ່ CVE ທີ່ຖືກຈອງໄວ້ໃນປີ 2023 ຈະຖືກເປີດເຜີຍລາຍລະອຽດໃນປີ 2024.
ຕົວ CVE-ID ເອງບໍ່ໄດ້ບັນຈຸຂໍ້ມູນກ່ຽວກັບລະດັບຄວາມຮຸນແຮງ. ສິ່ງທີ່ສະແດງເຖິງລະດັບຄວາມຮຸນແຮງແມ່ນຄະແນນ CVSS (Common Vulnerability Scoring System) ເຊິ່ງ NVD (National Vulnerability Database) ເປັນຜູ້ໃຫ້ຄະແນນ CVSS ແລະ ເປີດເຜີຍຕໍ່ກັບ CVE ນັ້ນໆ. ຕ່າງຈາກການຈັດໝວດໝູ່ແບບ OWASP Top 10, ຈຸດເດັ່ນຂອງ CVE ແມ່ນການຊີ້ໄປຫາຊ່ອງໂຫວ່ແຕ່ລະກໍລະນີ (Instance) ໂດຍສະເພາະ.
ຄວາມສຳພັນກັບ CyberGym ແລະ AI Scan
CyberGym ແມ່ນມາດຕະຖານ (Benchmark) ທີ່ໃຊ້ CVE ທີ່ມີຢູ່ແລ້ວມາເປັນຫົວຂໍ້ໃນການວັດແທກຄວາມສາມາດໃນການຈຳລອງການໂຈມຕີຂອງຕົວແບບ AI, ແລະຖານຂໍ້ມູນ CVE ກໍເປັນພື້ນຖານທີ່ຂາດບໍ່ໄດ້ສຳລັບການປະເມີນຜົນດັ່ງກ່າວ. ໃນທາງກົງກັນຂ້າມ, ຊ່ອງໂຫວ່ທີ່ Claude Mythos ຄົ້ນພົບໃນ Project Glasswing ແມ່ນຊ່ອງໂຫວ່ປະເພດ Zero-day ທີ່ຍັງບໍ່ທັນໄດ້ຮັບການອອກ CVE-ID, ແລະຈະຖືກລົງທະບຽນເປັນ CVE ກໍຕໍ່ເມື່ອຜ່ານຂະບວນການ Responsible Disclosure ແລ້ວເທົ່ານັ້ນ.
ການນຳໃຊ້ SBOM ຮ່ວມກັບ CVE ແມ່ນມີປະສິດທິພາບສູງຫຼາຍໃນທາງປະຕິບັດ. ຖ້າສາມາດກຳນົດຄວາມສຳພັນທັງໝົດຂອງຜະລິດຕະພັນຕົນເອງຜ່ານ SBOM ແລະ ກວດສອບທຸກຄັ້ງທີ່ມີການເປີດເຜີຍ CVE ໃໝ່, ທ່ານກໍສາມາດຕອບຄຳຖາມທີ່ວ່າ "ຊ່ອງໂຫວ່ນີ້ສົ່ງຜົນກະທົບຕໍ່ຜະລິດຕະພັນຂອງພວກເຮົາຫຼືບໍ່?" ໄດ້ພາຍໃນເວລາພຽງບໍ່ເທົ່າໃດນາທີ. ໃນການຮັບມືເບື້ອງຕົ້ນຕໍ່ການໂຈມຕີລະບົບ Supply Chain, ຄວາມແຕກຕ່າງຂອງຄວາມໄວນີ້ສາມາດສ້າງຜົນກະທົບທີ່ສຳຄັນໄດ້.
