CVE (англ. Common Vulnerabilities and Exposures) — база даних загальновідомих вразливостей інформаційної безпеки. Кожній уразливості присвоюється ідентифікаційний номер виду CVE-рік-номер, опис і ряд загальнодоступних посилань з описом.
Підтримкою CVE займається організація [en].
Фінансуванням проекту CVE займається [en].
Особливості
- Один код для однієї уразливості.
- Стандартизований опис вразливостей.
- Безкоштовне завантаження та використання.
Історія
Проект CVE був офіційно запущений для громадськості у вересні 1999 року. У той час більшість інструментів інформаційної безпеки використовували свої власні бази даних з їх власними іменами для вразливостей. Були значні відмінності між продуктами і не було простого способу визначити, коли різні бази даних посилалися на одну і ту ж проблему. Наслідками були потенційні прогалини в охопленні безпеки і відсутність сумісності між розрізненими базами даних та інструментами. Крім того, постачальники інструментів по різному рахували кількість вразливостей, які вони виявили.
Загальний вид запису
Виглядає приблизно так: CVE ID Reference і Description
ID записується із зазначенням року та порядкового номера, наприклад, "CVE-2017-5754". У полі Reference записуються посилання на патчі, документи рекомендаційного роду або коментарі розробника. Description відповідає за опис самої уразливості. CVE — система широкого профілю і не зосереджується тільки на клієнтських вразливостях або виключно на WEB-протоколі. Спочатку вона була задумана як єдиний стандарт ідентифікації вразливостей, який повинен охоплювати кілька ланок інформаційної системи: систему пошуку та виявлення прогалин (наприклад, сканер безпеки), антивірусне ПЗ, а також досліджуване ПЗ.
Приклади
Альтернативи
- [en];
- [en] (Open Sourced Vulnerability Database) — «відкрита база даних вразливостей», створена трьома некомерційними організаціями. Припинила роботу 5 квітня 2016 року. Блог продовжує працювати;
- Secunia — стрічка вразливостей відомої датської компанії Secunia в області комп'ютерної і мережної безпеки;
- X-Force.
Зустрічаються і інші класифікатори. При роботі з ними слід звертати увагу на авторів, так як кожна система класифікації повинна створюватися експертами в області інформаційної безпеки.
Див. також
- Common Weakness Enumeration (CWE) — система класифікації помилок, що призводять до вразливостей.
- Банк даних загроз безпеки інформації [ 23 травня 2018 у Wayback Machine.]
- Класифікатори вразливостей
Примітки
- . Архів оригіналу за 6 січня 2018. Процитовано 24 квітня 2018.
{{}}
: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title ()
Посилання
- Офіційний сайт [ 20 серпня 2011 у Wayback Machine.](англ.)
- https://cve.mitre.org/cve/data_sources.html [ 25 квітня 2018 у Wayback Machine.]
- https://cve.mitre.org/about/faqs.html [ 10 квітня 2018 у Wayback Machine.]
- Міряємо уразливості: класифікатори та метрики комп'ютерних проломів [ 6 січня 2018 у Wayback Machine.] — Журнал «Хакер» 15.05.2009
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет