Главная » 2019 » Июнь » 19 » Система общих уязвимостей и уязвимостей ( CVE )
22:11
Система общих уязвимостей и уязвимостей ( CVE )
Документация корпорации MITER определяет идентификаторы CVE (также называемые «имена CVE», «номера CVE», «CVE-ID» и «CVE») как уникальные общие идентификаторы для общеизвестных уязвимостей информационной безопасности в общедоступных пакетах программного обеспечения. Исторически, идентификаторы CVE имели статус «кандидат» («CAN-») и могли затем быть повышены до записей («CVE-»), однако эта практика была прекращена некоторое время назад, и все идентификаторы теперь назначаются как CVE. Назначение номера CVE не является гарантией того, что оно станет официальной записью CVE (например, CVE может быть неправильно назначен для проблемы, которая не является уязвимостью безопасности или которая дублирует существующую запись).

CVE назначаются органом по нумерации CVE (CNA); 
Существует три основных типа присвоения номеров CVE:
В Митра Corporation функционирует как редактор и первичного CNA
Различные CNA присваивают номера CVE для своих собственных продуктов (например, Microsoft, Oracle, HP, Red Hat и т. Д.)
Сторонний координатор, такой как Координационный центр CERT, может назначать номера CVE для продуктов, не охватываемых другими CNA.

При исследовании уязвимости или потенциальной уязвимости это помогает получить номер CVE на ранней стадии. Номера CVE могут не отображаться в базах данных MITER или NVD CVE в течение некоторого времени (дни, недели, месяцы или потенциально годы) из-за проблем, на которые наложено эмбарго (номер CVE был назначен, но проблема не была обнародована), или в случаи, когда запись не исследована и не написана MITER из-за проблем с ресурсами. Преимущество ранней кандидатуры CVE заключается в том, что вся будущая переписка может ссылаться на номер CVE. Информация о получении идентификаторов CVE для проблем с проектами с открытым исходным кодом доступна в Red Hat .

CVE предназначены для программного обеспечения, которое было выпущено публично; это может включать бета-версии и другие предварительные версии, если они широко используются. Коммерческое программное обеспечение входит в категорию «общедоступных», однако нестандартное программное обеспечение, которое не распространяется, обычно не получает CVE. Кроме того, службам (например, веб-провайдеру электронной почты) не назначаются CVE для уязвимостей, обнаруженных в службе (например, уязвимости XSS), если только проблема не существует в базовом программном продукте, который распространяется публично.


источник: https://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures
Категория: Кибербезопасность | Просмотров: 33 | Добавил: Sub_Admin | Теги: Система общих уязвимостей и уязвимо | Рейтинг: 0.0/0
Всего комментариев: 0
avatar