Common Vulnerabilities and Exposures

CVE (англ. Common Vulnerabilities and Exposures) — база даних загальновідомих вразливостей інформаційної безпеки. Кожній уразливості присвоюється ідентифікаційний номер виду CVE-рік-номер^[1], опис і ряд загальнодоступних посилань з описом.

Підтримкою CVE займається організація MITRE^[en].

Фінансуванням проекту CVE займається US-CERT^[en].

Особливості

Один код для однієї уразливості.
Стандартизований опис вразливостей.
Безкоштовне завантаження та використання.

Історія

Проект CVE був офіційно запущений для громадськості у вересні 1999 року. У той час більшість інструментів інформаційної безпеки використовували свої власні бази даних з їх власними іменами для вразливостей. Були значні відмінності між продуктами і не було простого способу визначити, коли різні бази даних посилалися на одну і ту ж проблему. Наслідками були потенційні прогалини в охопленні безпеки і відсутність сумісності між розрізненими базами даних та інструментами. Крім того, постачальники інструментів по різному рахували кількість вразливостей, які вони виявили.

Загальний вид запису

Виглядає приблизно так: CVE ID Reference і Description

ID записується із зазначенням року та порядкового номера, наприклад, "CVE-2017-5754". У полі Reference записуються посилання на патчі, документи рекомендаційного роду або коментарі розробника. Description відповідає за опис самої уразливості. CVE — система широкого профілю і не зосереджується тільки на клієнтських вразливостях або виключно на WEB-протоколі. Спочатку вона була задумана як єдиний стандарт ідентифікації вразливостей, який повинен охоплювати кілька ланок інформаційної системи: систему пошуку та виявлення прогалин (наприклад, сканер безпеки), антивірусне ПЗ, а також досліджуване ПЗ.

Приклади

Meltdown: CVE-2017-5754
Spectre: CVE-2017-5753, CVE-2017-5715
BlueBorne: CVE-2017-1000251, CVE-2017-1000250, CVE-2017-0785, CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-8628, CVE-2017-14315

Альтернативи

SecurityFocus BID^[en];
OSVDB^[en] (Open Sourced Vulnerability Database) — «відкрита база даних вразливостей», створена трьома некомерційними організаціями. Припинила роботу 5 квітня 2016 року. Блог продовжує працювати;
Secunia — стрічка вразливостей відомої датської компанії Secunia в області комп'ютерної і мережної безпеки;
IBM ISS X-Force.

Зустрічаються і інші класифікатори. При роботі з ними слід звертати увагу на авторів, так як кожна система класифікації повинна створюватися експертами в області інформаційної безпеки.

Див. також

Common Weakness Enumeration (CWE) — система класифікації помилок, що призводять до вразливостей.
Банк даних загроз безпеки інформації [Архівовано 23 травня 2018 у Wayback Machine.]
Класифікатори вразливостей

Примітки

↑ Архівована копія. Архів оригіналу за 6 січня 2018. Процитовано 24 квітня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)

Посилання

Офіційний сайт [Архівовано 20 серпня 2011 у Wayback Machine.](англ.)
https://cve.mitre.org/cve/data_sources.html [Архівовано 25 квітня 2018 у Wayback Machine.]
https://cve.mitre.org/about/faqs.html [Архівовано 10 квітня 2018 у Wayback Machine.]
Міряємо уразливості: класифікатори та метрики комп'ютерних проломів [Архівовано 6 січня 2018 у Wayback Machine.] — Журнал «Хакер» 15.05.2009

[1] Архівована копія. Архів оригіналу за 6 січня 2018. Процитовано 24 квітня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)

[1]