CVE (англ. Common Vulnerabilities and Exposures) — база даних загальновідомих вразливостей інформаційної безпеки. Кожній уразливості присвоюється ідентифікаційний номер виду CVE-рік-номер, опис і ряд загальнодоступних посилань з описом.
Підтримкою CVE займається організація [en].
Фінансуванням проекту CVE займається [en].
Особливості
- Один код для однієї уразливості.
- Стандартизований опис вразливостей.
- Безкоштовне завантаження та використання.
Історія
Проект CVE був офіційно запущений для громадськості у вересні 1999 року. У той час більшість інструментів інформаційної безпеки використовували свої власні бази даних з їх власними іменами для вразливостей. Були значні відмінності між продуктами і не було простого способу визначити, коли різні бази даних посилалися на одну і ту ж проблему. Наслідками були потенційні прогалини в охопленні безпеки і відсутність сумісності між розрізненими базами даних та інструментами. Крім того, постачальники інструментів по різному рахували кількість вразливостей, які вони виявили.
Загальний вид запису
Виглядає приблизно так: CVE ID Reference і Description
ID записується із зазначенням року та порядкового номера, наприклад, "CVE-2017-5754". У полі Reference записуються посилання на патчі, документи рекомендаційного роду або коментарі розробника. Description відповідає за опис самої уразливості. CVE — система широкого профілю і не зосереджується тільки на клієнтських вразливостях або виключно на WEB-протоколі. Спочатку вона була задумана як єдиний стандарт ідентифікації вразливостей, який повинен охоплювати кілька ланок інформаційної системи: систему пошуку та виявлення прогалин (наприклад, сканер безпеки), антивірусне ПЗ, а також досліджуване ПЗ.
Приклади
Альтернативи
- [en];
- [en] (Open Sourced Vulnerability Database) — «відкрита база даних вразливостей», створена трьома некомерційними організаціями. Припинила роботу 5 квітня 2016 року. Блог продовжує працювати;
- Secunia — стрічка вразливостей відомої датської компанії Secunia в області комп'ютерної і мережної безпеки;
- X-Force.
Зустрічаються і інші класифікатори. При роботі з ними слід звертати увагу на авторів, так як кожна система класифікації повинна створюватися експертами в області інформаційної безпеки.
Див. також
- Common Weakness Enumeration (CWE) — система класифікації помилок, що призводять до вразливостей.
- Банк даних загроз безпеки інформації [ 23 травня 2018 у Wayback Machine.]
- Класифікатори вразливостей
Примітки
- . Архів оригіналу за 6 січня 2018. Процитовано 24 квітня 2018.
{{}}
: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title ()
Посилання
- Офіційний сайт [ 20 серпня 2011 у Wayback Machine.](англ.)
- https://cve.mitre.org/cve/data_sources.html [ 25 квітня 2018 у Wayback Machine.]
- https://cve.mitre.org/about/faqs.html [ 10 квітня 2018 у Wayback Machine.]
- Міряємо уразливості: класифікатори та метрики комп'ютерних проломів [ 6 січня 2018 у Wayback Machine.] — Журнал «Хакер» 15.05.2009
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
CVE angl Common Vulnerabilities and Exposures baza danih zagalnovidomih vrazlivostej informacijnoyi bezpeki Kozhnij urazlivosti prisvoyuyetsya identifikacijnij nomer vidu CVE rik nomer opis i ryad zagalnodostupnih posilan z opisom Pidtrimkoyu CVE zajmayetsya organizaciya en Finansuvannyam proektu CVE zajmayetsya en OsoblivostiOdin kod dlya odniyeyi urazlivosti Standartizovanij opis vrazlivostej Bezkoshtovne zavantazhennya ta vikoristannya IstoriyaProekt CVE buv oficijno zapushenij dlya gromadskosti u veresni 1999 roku U toj chas bilshist instrumentiv informacijnoyi bezpeki vikoristovuvali svoyi vlasni bazi danih z yih vlasnimi imenami dlya vrazlivostej Buli znachni vidminnosti mizh produktami i ne bulo prostogo sposobu viznachiti koli rizni bazi danih posilalisya na odnu i tu zh problemu Naslidkami buli potencijni progalini v ohoplenni bezpeki i vidsutnist sumisnosti mizh rozriznenimi bazami danih ta instrumentami Krim togo postachalniki instrumentiv po riznomu rahuvali kilkist vrazlivostej yaki voni viyavili Zagalnij vid zapisuViglyadaye priblizno tak CVE ID Reference i Description ID zapisuyetsya iz zaznachennyam roku ta poryadkovogo nomera napriklad CVE 2017 5754 U poli Reference zapisuyutsya posilannya na patchi dokumenti rekomendacijnogo rodu abo komentari rozrobnika Description vidpovidaye za opis samoyi urazlivosti CVE sistema shirokogo profilyu i ne zoseredzhuyetsya tilki na kliyentskih vrazlivostyah abo viklyuchno na WEB protokoli Spochatku vona bula zadumana yak yedinij standart identifikaciyi vrazlivostej yakij povinen ohoplyuvati kilka lanok informacijnoyi sistemi sistemu poshuku ta viyavlennya progalin napriklad skaner bezpeki antivirusne PZ a takozh doslidzhuvane PZ PrikladiMeltdown CVE 2017 5754 Spectre CVE 2017 5753 CVE 2017 5715 BlueBorne CVE 2017 1000251 CVE 2017 1000250 CVE 2017 0785 CVE 2017 0781 CVE 2017 0782 CVE 2017 0783 CVE 2017 8628 CVE 2017 14315Alternativi en en Open Sourced Vulnerability Database vidkrita baza danih vrazlivostej stvorena troma nekomercijnimi organizaciyami Pripinila robotu 5 kvitnya 2016 roku Blog prodovzhuye pracyuvati Secunia strichka vrazlivostej vidomoyi datskoyi kompaniyi Secunia v oblasti komp yuternoyi i merezhnoyi bezpeki X Force Zustrichayutsya i inshi klasifikatori Pri roboti z nimi slid zvertati uvagu na avtoriv tak yak kozhna sistema klasifikaciyi povinna stvoryuvatisya ekspertami v oblasti informacijnoyi bezpeki Div takozhCommon Weakness Enumeration CWE sistema klasifikaciyi pomilok sho prizvodyat do vrazlivostej Bank danih zagroz bezpeki informaciyi 23 travnya 2018 u Wayback Machine Klasifikatori vrazlivostejPrimitki Arhiv originalu za 6 sichnya 2018 Procitovano 24 kvitnya 2018 a href wiki D0 A8 D0 B0 D0 B1 D0 BB D0 BE D0 BD Cite web title Shablon Cite web cite web a Obslugovuvannya CS1 Storinki z tekstom archived copy yak znachennya parametru title posilannya PosilannyaOficijnij sajt 20 serpnya 2011 u Wayback Machine angl https cve mitre org cve data sources html 25 kvitnya 2018 u Wayback Machine https cve mitre org about faqs html 10 kvitnya 2018 u Wayback Machine Miryayemo urazlivosti klasifikatori ta metriki komp yuternih prolomiv 6 sichnya 2018 u Wayback Machine Zhurnal Haker 15 05 2009