Mindre brus i CVE-flödet: SaaS får egen tagg

Under lång tid har sårbarheter i rena SaaS-tjänster varit svåra att följa upp: de saknade ofta CVE nummer och blandades ihop med klassisk produkt-/on-prem-logik. Nu finns en officiell lösning: CVE-taggen ”exclusively-hosted-service”.

Vad betyder den?

Taggen används när alla drabbade produkter endast finns som fullt hostade tjänster. Om både hostad och on-prem påverkas ska taggen inte användas. Det gör att vi kan särskilja ren SaaS från allt annat i CVE flödet och snabbare förstå vilken typ av åtgärd som faktiskt krävs.

Varför är det här viktigt?

– Tydligare ansvar och snabbare beslut: Molnleverantörer som Microsoft och Google markerar nu SaaS-CVE:er med denna tagg – ofta för att signalera att ingen kundåtgärd krävs eftersom fixen rullats ut i tjänsten. Det minskar brus och gör rapporteringen mer transparent.

– Bättre spårbarhet: Att SaaS sårbarheter får CVE nummer och konsekvent taggas stänger en gammal lucka i sårbarhetshantering där molnbrister tidigare föll mellan stolarna.

– Mognare prioritering: När källposten (CVE) anger att det rör sig om en “exclusively hosted service” kan vi prioritera rätt: bevaka påverkan, säkerställa kompensatoriska kontroller – men slippa lägga tid på patchplaner där leverantören redan åtgärdat. (Notera att alla verktyg ännu inte exponerar taggen lika tydligt.)

Exempel i praktiken

Microsofts första publiceringar av “cloud service CVEs” använder taggen för att klargöra att ingen kundpatch behövs (t.ex. CVE-2024-35260). Google Cloud har infört samma arbetssätt för kritiska brister i sina tjänster.

Min rekommendation

– Lägg till ett steg i er triagerutin som kontrollerar om CVE-posten har taggen ”exclusively-hosted-service”.

– Om taggen finns: bekräfta drifts-påverkan, verifiera att leverantören rullat ut fixen och dokumentera beslutet – men undvik onödig “patch-teater”.

– Om taggen saknas eller on-prem också påverkas: hantera enligt ordinarie process.

Detta är ett litet men viktigt steg mot bättre transparens och effektivare sårbarhetshantering i en verklighet där SaaS är normen.

Detta är ett gästinlägg skrivet av Oskar Edbro.