防御与运营
漏洞扫描
别称: 漏扫, 自动化漏洞扫描
定义
自动化对系统、应用或容器进行探测,根据已知漏洞特征生成潜在弱点清单的过程。
漏洞扫描借助 Nessus、Qualys、Tenable、OpenVAS 或云原生扫描器等工具对资产进行指纹识别,并将探测到的软件、配置和暴露面与 CVE/NVD 漏洞库以及 CIS、DISA STIG 等基线进行比对。扫描可分为身份验证扫描(凭据登入,精度更高)与非验证扫描,基于代理或基于网络,可持续运行或按计划执行。结果需要经过分诊,排除误报,结合可利用性与资产上下文进行加权,再驱动修复。漏洞扫描只是漏洞管理项目的一部分输入,本身不能证明漏洞可被利用。
示例
- 对 Linux 服务器执行的每周身份验证扫描,检测缺失的内核补丁。
- CI 流水线中的容器镜像扫描会阻断包含严重 CVE 的构建。