CVE ( English Common Vulnerabilities and Exposures ) este o bază de date cu vulnerabilități binecunoscute de securitate a informațiilor . Fiecărei vulnerabilități i se atribuie un număr de identificare sub forma CVE-year-number [1] , o descriere și un număr de link-uri disponibile public cu o descriere.
CVE este întreținut de organizația MITRE .
Proiectul CVE este finanțat de US-CERT .
Proiectul CVE a fost lansat oficial publicului în septembrie 1999. La acel moment, majoritatea instrumentelor de securitate a informațiilor își foloseau propriile baze de date cu nume proprii pentru vulnerabilități. Au existat diferențe semnificative între produse și nu a existat o modalitate ușoară de a determina când diferite baze de date se refereau la aceeași problemă. Consecințele au fost potențiale lacune în acoperirea securității și lipsa de compatibilitate între baze de date și instrumente disparate. În plus, vânzătorii de instrumente au numărat diferit numărul de vulnerabilități pe care le-au găsit.
Arata astfel: ID CVE, Referinta si Descriere
ID-ul este scris cu anul și numărul de serie, de exemplu, „CVE-2017-5754”. Câmpul Referință conține legături către patch-uri, documente consultative sau comentarii ale dezvoltatorilor. Descrierea este responsabilă pentru descrierea vulnerabilității în sine. CVE este un sistem cu o bază largă și nu se concentrează doar pe vulnerabilitățile clientului sau numai pe protocolul WEB. Inițial, a fost conceput ca un standard unic pentru identificarea vulnerabilităților, care ar trebui să acopere mai multe părți ale unui sistem informațional: un sistem de căutare și detectare a lacunelor (de exemplu, un scanner de securitate), software antivirus și software aflat în investigație.
Există și alți clasificatori. Când lucrați cu ei, ar trebui să acordați atenție autorilor, deoarece fiecare sistem de clasificare trebuie creat de experți în domeniul securității informațiilor.