Common Vulnerabilities and Exposures
CVE (англ. Common Vulnerabilities and Exposures) — база данных общеизвестных уязвимостей информационной безопасности. Каждой уязвимости присваивается идентификационный номер вида CVE-год-номер[1], описание и ряд общедоступных ссылок с описанием.
Поддержкой CVE занимается организация MITRE (англ.).
Финансированием проекта CVE занимается US-CERT.
ОсобенностиПравить
- Один идентификатор для одной уязвимости.
- Стандартизированное описание уязвимостей.
- Бесплатная загрузка и использование.
ИсторияПравить
Проект CVE был официально запущен для общественности в сентябре 1999 года. В то время большинство инструментов информационной безопасности использовали свои собственные базы данных с их собственными именами для уязвимостей. Были значительные различия между продуктами и не было простого способа определить, когда разные базы данных ссылались на одну и ту же проблему. Последствиями были потенциальные пробелы в охвате безопасности и отсутствие совместимости между разрозненными базами данных и инструментами. Кроме того, поставщики инструментов по-разному считали количество уязвимостей, которые они обнаружили.
Общий вид записиПравить
Выглядит примерно так: CVE ID, Reference и Description
ID записывается с указанием года и порядкового номера, например, "CVE-2017-5754". В поле Reference записываются ссылки на патчи, документы рекомендательного рода или комментарии разработчика. Description отвечает за описание самой уязвимости. CVE — система широкого профиля и не сосредотачивается только на клиентских уязвимостях или исключительно на WEB-протоколе. Изначально она задумывалась как единый стандарт идентификации уязвимостей, который должен охватывать несколько звеньев информационной системы: систему поиска и обнаружения брешей (например, сканер безопасности), антивирусное ПО, а также исследуемое ПО.
ПримерыПравить
АльтернативыПравить
- SecurityFocus BID (англ.) (рус.;
- OSVDB (англ.) (рус. (Open Sourced Vulnerability Database) — «открытая база данных уязвимостей», созданная тремя некоммерческими организациями. Прекратила работу 5 апреля 2016 года. Блог продолжает работать;
- Secunia — лента уязвимостей известной датской компании Secunia в области компьютерной и сетевой безопасности;
- IBM ISS X-Force.
Встречаются и другие классификаторы. При работе с ними следует обращать внимание на авторов, так как каждая система классификации должна создаваться экспертами в области информационной безопасности.
См. такжеПравить
- Common Weakness Enumeration[en] (CWE) — система классификации ошибок, приводящих к уязвимостям.
- Банк данных угроз безопасности информации ФСТЭК РФ
- Классификаторы уязвимостей
ПримечанияПравить
- ↑ Эксперты предложили три новых способа присвоения уязвимостям номеров CVE (неопр.). Дата обращения: 5 января 2018. Архивировано 6 января 2018 года.
СсылкиПравить
- cve.org — официальный сайт CVE
- https://cve.mitre.org/cve/data_sources.html
- https://cve.mitre.org/about/faqs.html
- Меряем уязвимости: классификаторы и метрики компьютерных брешей — Журнал «Хакер» 15.05.2009
Это статья-заготовка по информационной безопасности (защите информации). Вы можете помочь проекту, дополнив эту статью, как и любую другую в Википедии. Нажмите и узнайте подробности. |