미션 크리티컬 지능형 시스템 개발 소프트웨어 기업 윈드리버는 임베디드 리눅스 플랫폼의 CVE(공개적으로 알려진 보안 취약점) 모니터링 및 관리를 지원하는 윈드리버 스튜디오 리눅스 보안 스캐닝 서비스(Wind River Studio Linux Security Scanning Service)를 출시했다고 밝혔다.
개발자가 스캐너에 SBOM(Software Bill of Materials) 혹은 구성 목록을 실행시키면, 커널, 사용자 공간, 라이브러리 및 기타 시스템 구성 요소를 포함한 특정 플랫폼 계층을 분석하고 이를 광범위한 지식 기반과 비교하여 중요한 취약점을 정확하게 식별할 수 있다. 또한 플랫폼 패키지 내에서 활용되는 라이센스를 표시하여 아티팩트 생성 및 규정 준수 요구사항을 확인할 수 있다. 식별된 취약성의 결과 목록은 공통 취약점 스코어링 시스템(CVSS v3)에 따라 순위가 매겨진다.
이 서비스는 욕토 프로젝트(Yocto Project), NIST 및 윈드리버 데이터베이스 CVE 등의 선별된 데이터 소스 모음의 지식 기반을 활용한다.
CVE 이슈 해결 이후 조치를 필요로 하는 경우 윈드리버에 완화 계획에 대해 상담할 수 있다. 윈드리버 전문가의 컨설팅을 통해 식별된 각각의 취약점의 심각도와 악용 가능성을 바탕으로 CVE를 신속하게 분류하고 우선순위를 지정한 후, 리눅스 플랫폼 안전성에 필요한 시간 및 노력 수준을 평가하고 완화 계획을 세우는 방식이다.
스튜디오 리눅스 보안 스캐닝 서비스는 웹사이트에서 무료로 이용할 수 있다.