Common Vulnerabilities and Exposures

O Common Vulnerabilities and Exposures (CVE) é um banco de dados que registra vulnerabilidades e exposições relacionadas a segurança da informação conhecidas publicamente. O sistema é mantido pela National Cybersecurity FFRDC, operado pela MITRE Corporation, com financiamento da National Cyber Security Division do Departamento de Segurança Interna dos Estados Unidos.^[1] O sistema foi lançado oficialmente para o público em setembro de 1999.^[2]

Logo

Registros CVE

Vulnerabilidades conhecidas publicamente em softwares publicamente disponíveis recebem um identificador único, conhecido como identificador CVE, nome CVE, número CVE, CVE-ID ou simplesmente CVE.

Os CVEs são atribuídos por uma Autoridade de Numeração CVE (CNA)^[3], que pode ser a Mitre (CNA principal), as próprias fornecedoras dos produtos (exemplo Microsoft, RedHat, Oracle, HP, etc) ou um coordenador terceirizado.

Em determinados casos um número CVE pode levar certo tempo até ser tornado público. Este tempo pode ser dias, semanas, meses ou até mesmo anos.

A partir de 2015 o número CVE passou a ter o formato: prefixo CVE + ano + quatro ou mais dígitos arbitrários.

Além do identificador os registros CVEs possuem a descrição do incidente e referências.

Geralmente é atribuído um identificador CVE para cada incidente de segurança. No entanto em determinados casos é necessário dividir ou agrupar identficadores. ^[4]

Pesquisa de identificadores CVE

O banco de dados Mitre CVE pode ser pesquisado em CVE List Search, e o banco de dados Nacional de Vulnerabilidades CVE (dos Estados Unidos) pode ser pesquisado em CVE e CCE Vulnerability Database .

Ver também

• Segurança de computadores

Referências

1. «CVE – Common Vulnerabilities and Exposures». Mitre Corporation. 3 de julho de 2007. Consultado em 18 de junho de 2009. CVE is sponsored by the National Cyber Security Division of the U.S. Department of Homeland Security.
2. «CVE - History». cve.mitre.org. Consultado em 25 de março de 2020
3. «CVE - CVE Numbering Authorities». Mitre Corporation. 1 de fevereiro de 2015. Consultado em 15 de novembro de 2015
4. CVE Abstraction Content Decisions: Rationale and Application