CVE
該標籤下有 7 篇文章
漏洞(CVE)處置實務:徹底修復,並持續監控復發
漏洞處置不是『修了』就完事。完成=①掃描②修復③隔離/移交④監控四點齊備才算數。尤其在加上監控(每日變化偵測)之前都算未完成——因為相依套件明天又可能變得脆弱。修復內容哪怕100分,只要下一次部署就被覆蓋,也等於0分。越是小團隊,越能靠自動變化偵測和『local→push→deploy』的紀律守得出奇地穩。
osv-scanner 的安裝與使用:用機器找出相依套件裡的 CVE
osv-scanner 是一款免費工具,掃描鎖定檔或容器以排查相依套件中的 CVE。本文把安裝、執行、CI 整合做成步驟,並理清它與 npm/pnpm audit、Dependabot 的取捨。本站的觀點=選工具的正確答案由『你的架構』決定。多語言混用或不依賴 GitHub 就用 osv-scanner,單一 npm 用內建的 pnpm audit 就夠了。
什麼是 CVE — 給漏洞編上「統一編號」的機制
CVE 是給漏洞分配的全球通用識別編號(例如 CVE-2025-12345)。它讓所有人能用同一個名字引用同一個漏洞,是對策與監控的起點。CVE=名字、CVSS=嚴重程度、KEV=是否正被利用,職責各不相同。對個人而言,用機器監控來追蹤才實際。
什麼是 RCE(遠端程式碼執行)——為什麼它是最糟一類的漏洞
RCE 是一種讓攻擊者能在伺服器上執行任意程式碼的漏洞。它不止於資訊外洩,而是直接通向被接管,屬於最糟一類。被害範圍由「該程序的權限」決定。防禦的關鍵在於迅速更新、CVE 監控、最小權限。
Equifax 資訊外洩事件(2017)——未修補的 Apache Struts 導致 1.47 億人外洩的原因與防禦
原因是『把已經發布修復修補程式的已知 CVE(CVSS 10.0)沒有套用到公開系統上』。監控設備因憑證失效導致長達 76 天都沒察覺資料外帶,使損失擴大。在你的環境裡,要用資產盤點、修補 SLA、機器監控、偵測健全性來防止重演。
Log4Shell(CVE-2021-44228)——讓全世界一夜之間為『不知道自己是否在用』的漏洞而戰慄的一天
Log4j 的漏洞(CVSS 10.0)。本質在於『經由間接相依(傳遞性相依),在不知不覺中正在使用』的恐怖。日誌輸出這一被動處理成了攻擊通道。SBOM 與相依套件的機器化監控、迅速修補、對後續 CVE 的追蹤,都是教訓所在。
安全維運 Next.js:建立不在已公開CVE上掉隊的機制
框架的最大風險是放任已公開的CVE。以正式環境實際版本判定,用 Dependabot/osv-scanner 做機器監控,迅速更新,並以最小權限防守,構成四根支柱。本站的視角=個人開發者輸掉的不是知識,而是『維運的可持續性』。靠不漏看的機制取勝,而非速度。