WikiSort.ru - Не сортированное

ПОИСК ПО САЙТУ | о проекте

CVE (англ. Common Vulnerabilities and Exposures) — база данных общеизвестных уязвимостей информационной безопасности. Каждой уязвимости присваивается идентификационный номер вида CVE-год-номер^[1], описание и ряд общедоступных ссылок с описанием.

Поддержкой CVE занимается организация MITRE.

Финансированием проекта CVE занимается US-CERT.

Особенности

Один идентификатор для одной уязвимости.
Стандартизированное описание уязвимостей.
Бесплатная загрузка и использование.

История

Проект CVE был официально запущен для общественности в сентябре 1999 года. В то время большинство инструментов информационной безопасности использовали свои собственные базы данных с их собственными именами для уязвимостей. Были значительные различия между продуктами и не было простого способа определить, когда разные базы данных ссылались на одну и ту же проблему. Последствиями были потенциальные пробелы в охвате безопасности и отсутствие совместимости между разрозненными базами данных и инструментами. Кроме того, поставщики инструментов по разному считали количество уязвимостей, которые они обнаружили.

Общий вид записи

Выглядит примерно так: CVE ID, Reference и Description

ID записывается с указанием года и порядкового номера, например, "CVE-2017-5754". В поле Reference записываются ссылки на патчи, документы рекомендательного рода или комментарии разработчика. Description отвечает за описание самой уязвимости. CVE — система широкого профиля и не сосредотачивается только на клиентских уязвимостях или исключительно на WEB-протоколе. Изначально она задумывалась как единый стандарт идентификации уязвимостей, который должен охватывать несколько звеньев информационной системы: систему поиска и обнаружения брешей (например, сканер безопасности), антивирусное ПО, а также исследуемое ПО.

Примеры

Meltdown: CVE-2017-5754
Spectre: CVE-2017-5753, CVE-2017-5715
BlueBorne: CVE-2017-1000251, CVE-2017-1000250, CVE-2017-0785, CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-8628, CVE-2017-14315

Альтернативы

SecurityFocus BID (англ.)русск.;
OSVDB (англ.)русск. (Open Sourced Vulnerability Database) — «открытая база данных уязвимостей», созданная тремя некоммерческими организациями. Прекратила работу 5 апреля 2016 года. Блог продолжает работать;
Secunia — лента уязвимостей известной датской компании Secunia в области компьютерной и сетевой безопасности;
IBM ISS X-Force.

Встречаются и другие классификаторы. При работе с ними следует обращать внимание на авторов, так как каждая система классификации должна создаваться экспертами в области информационной безопасности.

См. также

Common Weakness Enumeration^[en] (CWE) — система классификации ошибок, приводящих к уязвимостям.
Банк данных угроз безопасности информации ФСТЭК РФ
Классификаторы уязвимостей

Примечания

↑ Эксперты предложили три новых способа присвоения уязвимостям номеров CVE

Ссылки

Официальный сайт (англ.)
https://cve.mitre.org/cve/data_sources.html
https://cve.mitre.org/about/faqs.html
Меряем уязвимости: классификаторы и метрики компьютерных брешей — Журнал «Хакер» 15.05.2009

Это заготовка статьи о компьютерах. Вы можете помочь проекту, дополнив её.
Это примечание по возможности следует заменить более точным.

Данная страница на сайте WikiSort.ru содержит текст со страницы сайта "Википедия".

Если Вы хотите её отредактировать, то можете сделать это на странице редактирования в Википедии.

Если сделанные Вами правки не будут кем-нибудь удалены, то через несколько дней они появятся на сайте WikiSort.ru .

Текст в блоке "Читать" взят с сайта "Википедия" и доступен по лицензии Creative Commons Attribution-ShareAlike; в отдельных случаях могут действовать дополнительные условия.

Другой контент может иметь иную лицензию. Перед использованием материалов сайта WikiSort.ru внимательно изучите правила лицензирования конкретных элементов наполнения сайта.

2019-2025
WikiSort.ru - проект по пересортировке и дополнению контента Википедии

[1] Эксперты предложили три новых способа присвоения уязвимостям номеров CVE