Wordfence 已被 Common Vulnerabilities and Exposures (CVE®) Program 授权为 CNA(CVE 编号机构),允许公司直接为 WordPress 核心、插件和主题中的新漏洞分配 CVE 编号。该授权由管理研发中心的联邦资助的美国非营利组织 Miter Corporation 授予。 Wordfence 预计创建 CVE 任务的能力将加快其安全研究。“随着 Wordfence 威胁情报团队继续进行开创性的 WordPress 安全研究,Wordfence 可以在公开披露我们团队发现的任何漏洞之前更有效地分配 CVE ID,”Wordfence 威胁分析师 Chloe Chamberland 说。 “这意味着我们发现的每个漏洞都会立即分配一个 CVE ID,而不是等待外部 CNA 分配。”
不必等待 CVE ID 是该公司的一个主要优势,尤其是在使用 WordPress 与其他软件结合使用的企业安装时。它还可以帮助安全人员根据威胁的潜在严重程度确定优先级并采取行动。
“我们成为 CNA 的努力考虑到了这些个人、机构和企业人员,以及 WordPress 的整体声誉,”Chamberland 说。 “现在,那些负责保护 WordPress 的人员在报告整个组织的漏洞并处理安全更新优先级时,将能够从我们的博客文章中快速引用 CVE ID。我们还希望通过成为 CNA,Wordfence 将收到来自安全研究人员的更多直接报告。”
成为 CNA 可以简化安全公司提交漏洞的流程。 Wordfence 是第二家在 WordPress 和相关漏洞范围内运营的公司。 2021 年 1 月,WPScan 被授予 CVE 编号权限。在成为 CNA 之前,为 WPScan 数据库中的每个漏洞分配 CVE 太耗时了。
“成为 CNA 使我们能够帮助安全研究人员验证和分类他们的漏洞,”WPScan 创始人兼首席执行官 Ryan Dewhurst 说。 “这有助于扩大我们的 WordPress 漏洞数据库并确保 WordPress 用户的安全。但这只是我们使用的许多其他漏洞的来源之一。”
Wordfence 成为 CNA 的过程非常简单。钱伯兰说,该公司填写了一份带有几个问题的注册表。
“一旦我们获得批准并就范围达成一致,您就需要观看一系列介绍 CNA 所需流程的入职视频,”她说。 “在那之后,我们召开了入职会议,以确保我们的团队接受了 CVE 计划协议方面的全面培训。 Wordfence 在收到我们的注册表后,花了大约一个月的时间才获得 CNA 的授权。”
从历史上看,WordPress 生态系统一直吸引着那些希望利用漏洞的人,因为它在网络上的足迹很大。这种趋势很可能会持续下去。 Chamberland 认为 WordPress 空间中有多个 CNA 的空间。
“多年来,我们与 WPScan 建立了良好的工作关系,我们希望这种关系将继续下去,因为我们在帮助保护 WordPress 社区方面有着类似的使命,”她说。
“随着 WordPress 的发展,它成为恶意行为者的更大、更有吸引力的目标。我们手上的手越多,我们协作得越好并遵守行业标准的安全实践,WordPress 就会越安全。”
吸引更多研究人员报告漏洞对于获得 CNA 地位的安全公司来说是一个主要好处,因为它们本质上是在销售漏洞保护数据的业务。他们让付费客户尽早访问尚未向公众开放的补丁。成为 CNA 有可能增加他们的业务可以提供的价值。
“随着 WordPress 的发展,我们希望在 WordPress 领域看到更多的安全研究人员,”Chamberland 说。 “因此,我们肯定会看到 CVE ID 请求的增加。拥有多个可以将 CVE ID 分配给 WordPress 核心、插件和主题的 CNA 有助于提高安全研究人员获取 CVE ID 的速度,并为研究人员提供多个 CVE ID 来源。”