使用生成式 AI 加速大规模 CVE 管理

IBM 软件站点可靠性工程 (SRE) 组织负责“IBM 软件即服务 (SaaS)”和托管服务平台的可靠性与安全性，而该平台跨越了多个云平台，包括 IBM Cloud、Microsoft Azure 和 Google Cloud Platform。软件 SRE 团队可为全球各行业的数百家企业提供多样化的 SaaS 解决方案。

由于此平台的广泛性和复杂性，很多常见漏洞和泄露问题 (CVE) 均可能与之相关，且可能需加以缓解。此外，还须妥善维护数千个应用程序证书，以保护正常运行时间。

软件 SRE 团队的工作是准确确定需缓解哪些 CVE 问题，以及需续订或更换哪些证书，以便支持 IBM SaaS 解决方案的性能和安全性。直到最近，这还意味着需完成大量的手动工作。“我们每晚会处理 1,000 到 2,000 个 CVE”，IBM SaaS 平台的站点可靠性工程师 Marc Velasco 说道。“它就像是一堆信息。而我们面临的挑战是如何找到必要的工具—我们真正需要修补的 CVE？

此前，软件 SRE 团队在应对 CVE 挑战时，与业内众多其他 SRE 团队一样。他们使用 Palo Alto Prisma Cloud 中的 Twistlock 软件来报告潜在的相关 CVE。每个团队均负责平台的某一特定方面并手动分析 CVE，以确定其负责领域的优先事项和行动。此外，这些团队还须手动搜索和缓解组织的自动证书管理系统未涵盖的所有证书。

这项工作耗费了大量时间。在资源有限的情况下，该团队一直在寻求提高效率的方法。“Velasco 表示：我们能投入的 SRE 数量有限”。“那么，我们应如何将所有信息转化为可操作且已设定优先级的信息呢？

进入 IBM Concert。

使用 Concert 工具，软件 SRE 团队可自动执行 CVE 分析和证书清单操作。

对于 CVE，该团队将 Twistlock 的扫描数据输入 Concert，Concert 生成每个 CVE 的书面摘要，包括修补漏洞的具体可行建议。它还会生成一个交互式地图，显示每个 CVE 与 IBM SaaS 平台所有领域的关系。

“Concert 会进行交叉引用，并为我们提供上下文信息：这是 CVE，这是与之相关的风险，这是缓解措施，这是它的适用性。这真的很有帮助，“Velasco 说，“我们让所有这些不同的小队在各个孤岛上进行相同的操作，而 Concert 将我们聚集在一起，使我们能够汇总这些信息。”

Velasco 补充说，该团队使用由 IBM® watsonx 平台提供支持的 Concert 聊天功能来扩展他们对 CVE 带来的实际风险的了解。这种更深入的知识使他们能够加快优先级排序并更快地处理最关键的项。“我们的 SRE 团队可以提出以前无法回答的问题：整个组织、整个 IBM 软件，众多不同的团队、技术和应用程序之间，风险状况究竟如何？Concert 让我能够看到，对于给定的应用程序，具体哪些组件或包真正引入了风险以及风险有多大。我们可以看到整个软件开发生命周期和生产环境（包括运行时）的潜在影响。”

对于证书，该团队现在使用 Concert 根据托管证书列表对现有证书进行交叉检查。该解决方案会自动验证非托管项目，并提醒团队有关过期或非托管证书的信息。  

最后，软件 SRE 团队还使用 Concert 的工作流程管理功能，该功能与 JIRA、ServiceNow 和 Git 等工具集成。该功能有助于简化票证的分配和管理，从而在需要缓解问题时做出更快的响应。