CVE
该标签下有 7 篇文章
漏洞(CVE)处置实务:彻底修复,并持续监控复发
漏洞处置不是『修了』就完事。完成=①扫描②修复③隔离/移交④监控四点齐备才算数。尤其在加上监控(每日变化检测)之前都算未完成——因为依赖明天又可能变得脆弱。修复内容哪怕100分,只要下一次部署就被覆盖,也等于0分。越是小团队,越能靠自动变化检测和『local→push→deploy』的纪律守得出奇地稳。
osv-scanner 的安装与使用:用机器找出依赖包里的 CVE
osv-scanner 是一款免费工具,扫描锁文件或容器以排查依赖中的 CVE。本文把安装、运行、CI 集成做成步骤,并理清它与 npm/pnpm audit、Dependabot 的取舍。本站的观点=选工具的正确答案由『你的架构』决定。多语言混用或不依赖 GitHub 就用 osv-scanner,单一 npm 用自带的 pnpm audit 就够了。
什么是 CVE — 给漏洞编上“统一编号”的机制
CVE 是给漏洞分配的全球通用标识编号(例如 CVE-2025-12345)。它让所有人能用同一个名字引用同一个漏洞,是对策与监控的起点。CVE=名字、CVSS=严重程度、KEV=是否正被利用,职责各不相同。对个人而言,用机器监控来追踪才现实。
什么是 RCE(远程代码执行)——为什么它是最糟一类的漏洞
RCE 是一种让攻击者能在服务器上执行任意代码的漏洞。它不止于信息泄露,而是直接通向被接管,属于最糟一类。被害范围由「该进程的权限」决定。防御的关键在于迅速更新、CVE 监控、最小权限。
Equifax 信息泄露事件(2017)——未打补丁的 Apache Struts 导致 1.47 亿人泄露的原因与防御
原因是『把已经发布修复补丁的已知 CVE(CVSS 10.0)没有应用到公开系统上』。监控设备因证书失效导致长达 76 天都没察觉数据外带,使损失扩大。在你的环境里,要用资产盘点、补丁 SLA、机器监控、检测健全性来防止重演。
Log4Shell(CVE-2021-44228)——让全世界一夜之间为『不知道自己是否在用』的漏洞而战栗的一天
Log4j 的漏洞(CVSS 10.0)。本质在于『经由间接依赖(传递性依赖),在不知不觉中正在使用』的恐怖。日志输出这一被动处理成了攻击通道。SBOM 与依赖的机器化监控、迅速打补丁、对后续 CVE 的追踪,都是教训所在。
安全运维 Next.js:建立不在已公开CVE上掉队的机制
框架的最大风险是放任已公开的CVE。以生产实际版本判定,用 Dependabot/osv-scanner 做机器监控,迅速更新,并以最小权限防守,构成四根支柱。本站的视角=个人开发者输掉的不是知识,而是『运维的可持续性』。靠不漏看的机制取胜,而非速度。