Common Vulnerabilities and Exposures

CVE (англ. Common Vulnerabilities and Exposures) — база данных общеизвестных уязвимостей информационной безопасности. Каждой уязвимости присваивается идентификационный номер вида CVE-год-номер[1], описание и ряд общедоступных ссылок с описанием.

Logo

Поддержкой CVE занимается организация MITRE (англ.).

Финансированием проекта CVE занимается US-CERT.

Особенности

править
  • Один идентификатор для одной уязвимости.
  • Стандартизированное описание уязвимостей.
  • Бесплатная загрузка и использование.

История

править

Проект CVE был официально запущен для общественности в сентябре 1999 года. В то время большинство инструментов информационной безопасности использовали собственные базы данных с собственными именами для уязвимостей. Были значительные различия между продуктами и не было простого способа определить, когда разные базы данных ссылались на одну и ту же проблему. Последствиями были потенциальные пробелы в охвате безопасности и отсутствие совместимости между разрозненными базами данных и инструментами. Кроме того, поставщики инструментов по-разному считали количество уязвимостей, которые они обнаружили.

Общий вид записи

править

Выглядит примерно так: CVE ID, Reference и Description

ID записывается с указанием года и порядкового номера, например, «CVE-2017-5754». В поле Reference записываются ссылки на патчи, документы рекомендательного рода или комментарии разработчика. Description отвечает за описание самой уязвимости. CVE — система широкого профиля и не сосредотачивается только на клиентских уязвимостях или исключительно на WEB-протоколе. Изначально она задумывалась как единый стандарт идентификации уязвимостей, который должен охватывать несколько звеньев информационной системы: систему поиска и обнаружения брешей (например, сканер безопасности), антивирусное ПО, а также исследуемое ПО.

Примеры

править
  • Meltdown: CVE-2017-5754
  • Spectre: CVE-2017-5753, CVE-2017-5715
  • BlueBorne: CVE-2017-1000251, CVE-2017-1000250, CVE-2017-0785, CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-8628, CVE-2017-14315

Альтернативы

править

Встречаются и другие классификаторы. При работе с ними следует обращать внимание на авторов, так как каждая система классификации должна создаваться экспертами в области информационной безопасности.

См. также

править

Примечания

править

Ссылки

править