苹果华为供应链安全稽核之二：漏洞发现

对于一些苹果、华为供应链的代工厂来说，如何更有效地应对稽核要求是他们必须要做的事情，其中漏洞扫描恰恰是其中常见的一项稽核要求，然而要做好这件事，往往需要有以下几个方面的内容需要应对和解决，下面我们分别来说说。

1、对于可能出现的系统漏洞和对漏洞利用的问题有没有进行监视

我们知道监视的作用是尽快发现问题，并能迅速反应、应对，采取合理措施第一时间进行处理。这样不仅能够更大程度上减少损失，也能通过对监视的视频资料进行回放来回溯，溯源问题发生的根源，避免再次出现。

2、对于内部，如服务器、数据库和外部系统，如web应用程序、端点等，是否有定期进行漏洞扫描的工作

与第一点的作用类似，定期的漏洞扫描工作有助于尽早发现的存在的恶性漏洞，这些漏洞一旦被勒索软件攻击者提前发现，则将面临着勒索病毒入侵的后果，而如果企业能够提前勒索组织先一步发现漏洞，并及时进行打上补丁，这就从根本上防止了勒索病毒入侵的可能性。

 

漏洞扫描的一些细节要求

对于漏洞扫描来说，有一些内容部分需要涉及到，比如访问、处理、传输或存苹果数据的所有内部系统以及外部系统，漏洞扫描是经过认证的才能使用。

漏洞扫描的策略被配置为识别与扫描系统类型相关的漏洞，漏洞扫描计划自动运行。就拿苹果来说，其对于NPI的要求是非常严格的，漏扫测试的实施也在情理之中了。

随着供应商发布更新，漏洞签名数据库将自动更新。漏洞扫描至少每月进行一次。当漏洞扫描被配置为在面向内部的系统上运行时，但不能在面向外部的系统上运行；当漏洞扫描被配置为在面向外部的系统上运行时，但不能在面向内部的系统上运行。通过众里数码安全服务的内容可以有效地应对苹果、华为的稽核的漏扫问题。