Vad är CVE och varför är det viktigt för säkerheten i inbyggda system?

Codiax 14 november 2025

CVE som grundpelare i cybersäkerhet för inbyggda system

CVE-systemet används för att upprätthålla säkerheten i komplexa mjukvarumiljöer. I takt med att inbyggda system blir allt mer uppkopplade, komplexa och beroende av öppen källkod, ökar också exponeringen för sårbarheter. CVE fungerar därmed som ett verktyg för att identifiera, klassificera och hantera dessa risker på ett standardiserat sätt, och på så sätt snabbt kunna åtgärda brister innan de utnyttjas.

Två medarbetare från Codiax framför en datorskärm.

Vad betyder CVE och varför används det?

CVE står för Common Vulnerabilities and Exposures och är ett globalt system för att identifiera och katalogisera kända sårbarheter i inbyggda system. Varje sårbarhet som registreras får ett unikt CVE-ID, till exempel CVE‑2025‑12345, som gör det möjligt för utvecklare, leverantörer och säkerhetsteam att prata om samma problem med ett gemensamt språk.

Vanliga CVE-sårbarheter inom Linux och Embedded

Inom Linuxvärlden upptäcks hela tiden nya sårbarheter, både i Linuxkärnan och i många andra Open Source-paket som används i Linuxsystem. Vid granskningen av nytillkomna CVE:er för ett Linuxsystem står Linuxkärnan ofta för mer än hälften av sårbarheterna. De andra finns spridda någorlunda jämnt över andra mjukvarupaket, såsom OpenSSL, Python och curl, som alla är särskilt viktiga för systemets säkerhet.

Prioritera relevanta CVE:er i Linuxkärnan

Att Linuxkärnan står för en så stor del av de rapporterade CVE:erna beror delvis på att det är en omfattande och säkerhetskritisk programvara, men framför allt på att kärnutvecklarna numera rapporterar nästan varje funnen bug som en CVE. Detta beror helt enkelt på att många fel i kärnans kod potentiellt kan utnyttjas som sårbarheter, och att det ofta är för svårt att vara helt säker på att så inte sker.

CVE:erna som påverkar kärnan är spridda över alla kärnans delsystem och stödda arkitekturer. Med god kunskap om ditt systems användning – vilka delsystem som används och vilka funktioner som är aktiva – kan du vid ett tidigt stadium filtrera bort många av de CVE:er som rapporterats som icke applicerbara på ditt system. Det gör det enklare att hålla systemet säkert och fokusera på de sårbarheter som faktiskt utgör en risk.

Så kan företag bevaka och hantera CVE:er

Alla företag som hanterar system med öppen källkod bör själva, eller via en extern aktör, löpande skanna efter nya och uppdaterade CVE:er som påverkar de mjukvarupaket som används. Så här går det till:

  • Steg 1: Skanna av CVE-databasen

  • Upprätta en SBOM (Software Bill of Materials), det vill säga en komplett lista över alla mjukvarupaket som ingår i era system. Detta utgör grunden för att kunna koppla CVE:er till rätt komponenter.

    Skanna CVE-databasen efter nya och uppdaterade sårbarheter som berör era paket med hjälp av verktyg som stöder detta. Det finns olika verktygsstöd för att skanna CVE:er. Yoctoprojektet erbjuder bland annat möjligheten att skanna efter nya CVE:er vid bygget av Linuxplattformar. I Yocto kan du enkelt markera CVE:er som hanterade inför kommande skanningar.

  • Steg 2: Bedöm och hantera resultaten

  • Efter att skanningen är genomförd behöver du gå igenom alla CVE:er och göra bedömningar om dessa är tillämpliga för ditt system eller inte. Dokumentera dina beslut inför framtida skanningar och åtgärda de CVE:er som bedöms ha påverkan på det egna systemet.

  • Steg 3: Åtgärda sårbarheter

  • Identifiera de CVE:er som påverkar ditt system och åtgärda dem. Det kan innebära att du patchar ett mjukvarupaket, uppgraderar till en nyare version eller ändrar systemets uppbyggnad så att sårbarheten inte längre gäller.

  • Steg 4: Följ upp och rapportera

  • Upprepa processen regelbundet och sammanställ rapporter om status. Om du känner dig osäker kan du få hjälp av oss på Codiax. Med Codiax CMP gör vi skanningar, bedömningar, åtgärder och producerar rapporter som talar om läget för våra kunders Linuxplattformar.

En medarbetare från Codiax som sitter vid datorn.

Vad händer om man ignorerar CVE-sårbarheter?

Riskerna med att ignorera sårbarheter är flera och allvarliga. Bland annat kan systemet man bygger och säljer vidare utsättas för attacker och övertagande av tredje part. Detta kan leda till driftstörningar, ekonomiska förluster eller till och med hot mot människors säkerhet.

Dessutom kommer systemet inte att uppfylla de myndighetsdirektiv som ställs, däribland:

  • Cyber Resilience Act (CRA) kräver att produkter med digitala element är säkra genom hela sin livscykel.
  • Network and Information Security Directive (NIS2) ställer krav på incidentrapportering och riskhantering för leverantörer inom kritisk infrastruktur.
  • European Union’s Radio Equipment Directive (RED) omfattar cybersäkerhetskrav för trådlös utrustning, med syfte att skydda mot nätverksattacker, dataförlust och resursmissbruk.

I värsta fall kan avsaknaden av certifieringar enligt dessa direktiv innebära att systemet du bygger får försäljningsförbud.

Codiax hjälper dig att skanna din CVE-databas

Vi på Codiax hjälper dig gärna med skanning, analyser, åtgärder och rapportering. På så sätt kan du vara trygg med att dina produkter uppfyller alla gällande direktiv och standarder för cybersäkerhet.

Kontakta oss CVE Management