佐治亚州诺克罗斯——AMI®,一家通过其 BIOS、BMC 和安全解决方案为全球互联数字基础设施提供动力、管理和保护的全球领导者,欣然宣布其参与推动 TianoCore 被通用漏洞披露 (CVE®) 计划接受为 CVE 编号机构 (CNA)。
CVE 是一项国际性的、基于社区的计划,它维护着一个由社区驱动的开放漏洞数据注册表。通过该注册表分配的 CVE ID 使项目利益相关者能够快速发现和关联漏洞信息,从而保护系统免受攻击。CVE 项目目前在全球 24 个国家/地区拥有 140 个 CVE 认证网络资产 (CNA),涵盖各种技术和服务。
TianoCore是一个由社区支持的开源统一可扩展固件接口 (UEFI) 实现,由 UEFI 论坛开发和推广。UEFI 论坛是一个非营利性行业标准组织,负责制定、管理和推广 UEFI 规范。TianoCore 代表了一种现代化的跨平台固件实现,适用于 UEFI 和 UEFI 平台初始化 (PI) 规范,并最终发展成为 TianoCore 社区下的其他开源项目。AMI 是 UEFI 论坛的创始成员和发起者,在董事会中占有一席之地,并从论坛成立之初就为其发展做出了贡献。
TianoCore 被 CVE 项目接纳为 CNA(认证漏洞评估机构),这意味着它将能够为影响 TianoCore 或 EDK-II 源代码的漏洞发布 CVE 编号。CVE 项目已将 TianoCore 添加到其 CNA 参与者列表中,该列表可在其网站https://cve.mitre.org/cve/request_id.html#cna_participants上查看。此次接纳还将有助于简化 TianoCore 信息安全小组的工作,该小组负责记录社区对已知漏洞和安全问题的发现,相关文档可在https://github.com/tianocore/tianocore.github.io/wiki/Reporting-Security-Issues 查看。
作为此次公告的一部分,AMI 将与 BIOS 和 UEFI 固件领域的其他行业领导者以及英特尔® 公司共同参与协调工作。十多年来,AMI 的工程师们一直贡献时间和他们多年积累的固件开发经验,帮助解决源自 TianoCore 或 EDK-II 的开源漏洞。在此角色下,AMI 和其他参与公司被授权代表 TianoCore 申请 CVE 编号,该编号既可用于 TianoCore 项目本身,也可用于任何其他使用 TianoCore 项目或代码的开源软件项目。
“随着固件安全和信任日益成为网络安全领域关注的焦点,我们非常感谢 AMI 在推动 TianoCore 被 CVE 项目认可为 CVE 编号机构方面所发挥的作用,”联想 PSIRT 项目经理兼 CVE 委员会成员 Beverly Alvarez 表示。“他们的领导作用,以及 BIOS/UEFI 领域所有领先机构的共同努力,凸显了这些组织对支持标准化、行业通用的漏洞命名和分类术语的重视。”
“AMI非常高兴能够参与TianoCore被CVE计划认可为CVE编号机构的过程,”AMI软件与安全服务部主管工程师Eric Johnson表示。“多年来,AMI不断加强其在固件安全领域的领导地位,并更深入地参与相关的开源软件(OSS)项目,今天的公告正是我们努力的成果之一,所有AMI贡献者都应该为此感到非常自豪,”他补充道。
AMI全球软件、安全工程与服务副总裁兼UEFI董事会代表Stefano Righi补充道:“这一成就标志着AMI 15年来对UEFI贡献的巅峰,我们始终致力于基于UEFI规范的固件实现的安全性。随着TianoCore获得CVE编号授权,AMI除了能够指定安全特性外,现在还可以为整个固件开发生命周期的安全做出贡献——监控已发布产品的生态系统,并识别安全研究人员发现的新漏洞的缓解措施。”
所有商标和注册商标均为其各自所有者在美国和其他国家的财产。
