該報告的主要發現是,英特爾在2022年解決的漏洞中,有93%是直接源自於英特爾對產品安全保障的投資。英特爾在2022年發布的243個通用漏洞披露(CVE)中,約有137個(即56%)是由英特爾員工在內部發現的。
自2019年發布第一份產品安全報告以來,平均93%已發布的CVE都是英特爾在產品安全保障方面投資的直接結果。在2022年外部研究人員報告的106個漏洞中,有90個(即85%)漏洞是通過英特爾的漏洞賞金計劃報告的。
英特爾表示,成功發現漏洞很大程度上要歸功於英特爾安全開發生命周期(Intel Security Development Lifecycle),該生命周期可以指導企業在整個產品生命周期中跨硬體和軟體(包括固件)應用隱私和安全實踐。
生命周期從規劃和評估開始,確定通過開發解決產品預期安全風險所需的SDL活動。第二步,涉及構建和開發驅動適當安全要求和目標的威脅模型。在設計階段,根據安全目標、威脅和要求進行安全和隱私分析。
第四階段,也就是實施階段,涉及持續評估進展情況,以確保實施是按計劃進行的,提供值得信賴的產品。第五個階段是安全驗證,主要驗證產品是否滿足所有規定的安全要求,最後一步是發布和部署後期,包括發布測試和發布後的產品支持。
英特爾還舉辦了「安全黑客馬拉松」(HaT),讓員工學會像黑客一樣思考。該活動把產品專家和安全專家聚集在一起,讓員工接受持續的培訓和實踐經驗。英特爾在2022年舉辦了118場HaT活動。英特爾的安全研究團隊目前遍布10個國家,有80名研究人員。
英格爾公司首席執行官Pat Gelsinger在報告中表示:「產品的安全性是我們最重要的優先事項之一,我們努力設計、製造和銷售全球最安全的技術產品,不斷創新和增強我們產品的安全能力。」
