ZD至顶网网络频道 10月08日 编译:据悉,思科公司已经改变了对自家产品内安全漏洞的披露形式。用于处理机器可读之数据的API也许即将在短期内与我们见面。
思科公司以经过大幅改进的、易于阅读的形式发布安全漏洞报告。
思科目前已经采取一种新的、据称“经过强化与简化”的自家产品内安全漏洞披露方式。这一新方案使用安全影响评级(即Security Impact Rating,简称SIR)分数来帮助大家了解当前所面临安全漏洞的严重程度,同时配合CVE系统以及通用安全漏洞报告框架(简称CVRF),旨在以标准化且机器可读之格式对漏洞进行描述。由于相关数据能够为机器所直接读取,因此这类报告将在思科正式发布相关API之后发挥巨大作用——根据思科的说法,该API“将在未来几个月内推出”。
此外,根据思科做出的承诺,该API允许客户“对思科信息及公告进行自主定义,从而满足自身的特定需求。该API还允许客户设定相关规则,从而实现客户自有网络的自动化评估。”总结来讲,这很像是一种“塞入全部已有安全漏洞报告,结合网络实际情况然后告诉用户该怎么做”的傻瓜式解决方案,如果真能达到这样的效果、我们应当为思科鼓掌喝彩。
而最近,思科公司已经为其安全漏洞通告采取了一种新的RSS推送方式,其以CVRF格式存在并能够通过一款Python解析工具对内容进行读取,从而最大程度发挥其实际作用。
相关API以及新型格式之所以陆续出现,是因为思科公司的产品安全事件响应小组(即Product Security Incident Response Team,简称PSIRT)“承认过去这方面工作的一致性水平较低,且表示其原先会根据漏洞的具体严重程度采用多种不同的安全问题通知方式。”
而到今天,所有安全漏洞都将得到相同的对待,即在网络上发布明确的特性及危害介绍,并利用新的SIR机制对其加以评分,其具体分值及等级划分如下:
安全影响评级 |
CVSS分数 |
高危 |
9.0 – 10.0 |
危险 |
7.0 – 8.9 |
中等 |
4.0 – 6.9 |
低等 |
3.9或以下 |
思科公司做出的这一系列变更显然是对客户反馈的响应。感兴趣的朋友可以点击此处查看关于这一新机制的官方描述(英文原文)。
好文章,需要你的鼓励
本文评测了六款控制台平铺终端复用器工具。GNU Screen作为老牌工具功能强大但操作复杂,Tmux更现代化但学习曲线陡峭,Byobu为前两者提供友好界面,Zellij用Rust编写界面简洁易用,DVTM追求极简主义,Twin提供类似TurboVision的文本界面环境。每款工具都有各自特点和适用场景。
韩国汉阳大学联合高通AI研究院开发出InfiniPot-V框架,解决了移动设备处理长视频时的内存限制问题。该技术通过时间冗余消除和语义重要性保留两种策略,将存储需求压缩至原来的12%,同时保持高准确性,让手机和AR眼镜也能实时理解超长视频内容。
网络安全公司Snyk宣布收购瑞士人工智能安全研究公司Invariant Labs,收购金额未公开。Invariant Labs从苏黎世联邦理工学院分拆成立,专注于帮助开发者构建安全可靠的AI代理工具和框架。该公司提供Explorer运行时观察仪表板、Gateway轻量级代理、Guardrails策略引擎等产品,并在工具中毒和模型上下文协议漏洞等新兴AI威胁防护方面处于领先地位。此次收购将推进Snyk保护下一代AI原生应用的使命。
纽约大学研究团队通过INT-ACT测试套件全面评估了当前先进的视觉-语言-动作机器人模型,发现了一个普遍存在的"意图-行动差距"问题:机器人能够正确理解任务和识别物体,但在实际动作执行时频频失败。研究还揭示了端到端训练会损害原有语言理解能力,以及多模态挑战下的推理脆弱性,为未来机器人技术发展提供了重要指导。