Common Vulnerabilities and Exposures

From Wikipedia, the free encyclopedia

Remove ads

Common Vulnerabilities and Exposures (CVE) je referenční seznam veřejně známých zranitelností a ohrožení informační bezpečnosti. CVE byl spuštěn v roce 1999 společností MITRE, aby identifikoval a kategorizoval zranitelnosti v softwaru a firmwaru. [2] Společnost MITRE sponzoruje Ministerstvo vnitřní bezpečnosti USA (DHS) a Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA). Tento seznam umožňuje získat informace o zranitelnostech prostřednictvím unikátního identifikátoru, známého jako CVE ID. [3]

ikona
Tento článek potřebuje úpravy.
Thumb
Logo[1]
Remove ads

CVE identifikátory

Proces vytváření identifikátoru CVE začíná zjištěním a nahlášením potenciální bezpečnostní chyby. CVE Numbering Authority (CNA) následně této informaci přiřadí CVE identifikátor (jedná se o unikátní kód ve formátu CVE-rok-pořadové číslo identifikátoru), který je zveřejněn na CVE seznamu. Společnost MITRE spravuje celý CVE seznam, zatímco CVE redakční rada se stará o aktualizaci standardů a celkový směr programu. [4] Existuje okolo sta CNA, mezi nimiž jsou bezpečnostní firmy, výzkumné organizace a IT dodavatelé, jako jsou Red Hat, IBM, Cisco, Oracle a Microsoft. [5] Dále jsou zjištěny bližší detaily o zranitelnosti (zahrnují například typ zranitelnosti, verzi, hlavní příčinu nebo dopad). Jakmile je v záznamu shromážděn dostatek informací, je zveřejněn příslušnou složkou CNA na veřejný CVE seznam identifikátorů. [6]

Minimální požadavky pro zveřejnění CVE záznamu [6]

  • Identifikační číslo CVE (např. „CVE-1999-0067“, „CVE-2014-100001“)
  • Popis bezpečnostní chyby nebo ohrožení
  • Relevantní odkazy (upozornění, zprávy o zranitelnosti)
  • Dodatečné produkty a verze
Remove ads

Využití

Systém CVE slouží k standardizovanému označování a sledování zranitelností napříč různými organizacemi a bezpečnostními nástroji. [7] Tato standardizace je využívána při zjišťování bezpečnostních hrozeb. NVD doplňuje identifikátory dalšími údaji, jako je skóre CVSS, kategorizace CWE a kompatibilita CPE. Tyto informace slouží k hodnocení kybernetických rizik a identifikaci ohrožených systémů. [3]

Common Vulnerability Scoring System

CVSS je metoda měření závažnosti zranitelností, známá také jako CVE skóre. Hodnotu CVSS vypočítává NVD a používá stupnici od 0 do 10. [8] NVD podporuje verze systému CVSS v2.0, v3.x a v4.0 a poskytuje kalkulátory pro každou z nich.

Další informace Hodnota CVSS, Úroveň závažnosti zranitelnosti ...
Remove ads

Odkazy

Loading related searches...

Wikiwand - on

Seamless Wikipedia browsing. On steroids.

Remove ads
Remove ads