Для получения триального ключа
заполните форму ниже
Team license
Enterprise license
** Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Запросите информацию о ценах
Новая лицензия
Продление лицензии
--Выберите валюту--
USD
EUR
RUB
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Бесплатная лицензия PVS-Studio для специалистов Microsoft MVP
** Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Для получения лицензии для вашего открытого
проекта заполните, пожалуйста, эту форму
** Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Мне интересно попробовать плагин на:
** Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Ваше сообщение отправлено.

Мы ответим вам на


Если вы так и не получили ответ, пожалуйста, проверьте папку
Spam/Junk и нажмите на письме кнопку "Не спам".
Так Вы не пропустите ответы от нашей команды.

>
>
>
Common Vulnerabilities and Exposures (C…

Common Vulnerabilities and Exposures (CVE)

12 Сен 2022

Common Vulnerabilities and Exposures (CVE) – список известных уязвимостей и дефектов безопасности.

Цель CVE – выявлять, описывать и каталогизировать информацию о публично раскрытых уязвимостях. Список создавался для унификации именования и регистрации обнаруженных дефектов безопасности. CVE позволяет специалистам по безопасности, инструментам обнаружения уязвимостей и базам данных уязвимостей получать и обмениваться информацией о конкретных дефектах. Благодаря этому они могут быть уверены, что имеется ввиду одна и та же проблема.

CVE создана и поддерживается компанией MITRE. MITRE Corporation – американская некоммерческая организация, специализирующаяся в области системной инженерии. Организация поддерживает проекты в различных областях, таких как космическая безопасность, информатика в здравоохранении, кибербезопасность и других. Также MITRE поддерживает систему классификации недостатков безопасности CWE (Common Weakness Enumeration).

CVE не позиционируется как база данных уязвимостей, скорее это их перечисление, "словарь", который позволяет сопоставлять данные из различных источников. CVE – это список, который состоит из записей. Каждая из них описывает одну общеизвестную уязвимость. Запись об уязвимости содержит следующие разделы: CVE ID, Reference, Description. CVE ID начинается с префикса CVE- и записывается с указанием года, в котором было сообщено об уязвимости и номера, присвоенного CNA (CVE Numbering Authorities).

CNA – это разработчики ПО, Bug Bounty программы и другие организации, занимающиеся поиском уязвимостей, уполномоченные добавлять новые записи в CVE.

Описание уязвимости в CVE строится по одному шаблону. В нём говорится, что <проблема> в <версии> <продукта> приводит к <воздействию> в результате <атаки>.

CVE_ru/image1.png

К каждой записи должна прилагаться хотя бы одна ссылка на отчёты об уязвимости, рекомендации разработчика или другие информационные ресурсы.

Для того чтобы уязвимость включили в CVE, она должна соответствовать критериям:

  • Уязвимость должна быть исправлена;
  • Разработчик, в продукте которого найдена уязвимость, должен признать, что она имеет негативное последствие для безопасности;
  • Уязвимость затрагивает только одну кодовую базу. Если уязвимость связана с ошибками в Open Source библиотеках, протоколах или стандартах, то CVE назначается для каждого затронутого продукта, использующего их. Исключением из этого правила являются случаи, когда невозможно оставаться защищённым, используя уязвимый общий код.

Жизненный цикл новой записи CVE строится по следующему сценарию:

  • Человек или организация обнаруживают новую уязвимость.
  • Исследователь сообщает об уязвимости участникам программы CVE. Для этого можно использовать специальную форму запроса.
  • Участник программы CVE запрашивает CVE ID для уязвимости.
  • CVE ID резервируется. Такое состояние означает, что вовлеченные в изучение и исправление дефекта безопасности исследователи используют CVE ID для координации своих действий, но не готовы публично сообщить об уязвимости.
  • Участники программы CVE предоставляют информацию об уязвимости. Подобная информация может включать затронутые версии продукта, тип и воздействие уязвимости, а также ссылки на отчеты об уязвимости.
  • Как только минимальные требования соблюдены ответственный CNA публикует запись CVE в списке.

Запись CVE может быть отмечена как RESERVED, DISPUTED, REJECT. Отметка RESERVED ставится для записи, ID которой зарезервирован CNA или исследователями безопасности, но детали о которой пока не раскрываются. Когда исследователи не согласны друг с другом о том, является ли конкретная проблема уязвимостью или нет, записи CVE ставится отметка DISPUTED. В таких случаях программа CVE не определяет какая сторона права, а обращает на этот спор внимание и пытается предоставить любые ссылки для лучшего информирования о проблеме. Запись, отмеченная как REJECT, не принимается как запись CVE. Чаще всего причина, по которой запись отклонили указывается в описании.

Записи CVE короткие и не содержат подробных технических деталей или оценки опасности уязвимости. Поэтому на основе данных CVE строятся базы данных уязвимостей, расширяющие и дополняющие её, например, NVD (National Vulnerability Database). В добавок к имеющимся данным из CVE, в базе NVD указывается дополнительная информация, такая как оценка CVSS (Common Vulnerability Scoring System), классификация ошибок по CWE, перечень затронутых платформ в формате CPE (Common Platform Enumeration).

Найти запись CVE по ключевым словам можно на её официальном сайте. База NVD предоставляет расширенный вариант поиска записей об уязвимостях, например, по ОС, имени вендора, названию или версии продукта, типу, серьёзности или воздействию уязвимости.

Кроме базы NVD, CVE используется и в других базах данных уязвимостей, например, Vulners и VulDB.

Vulners – агрегатор и поисковик по контенту в сфере информационной безопасности. Он позволяет искать новости и статьи об уязвимостях, патчи, эксплоиты и многое другое.

VulDB – база уязвимостей, предоставляющая информацию о менеджменте уязвимостей и реагированию на инциденты. Также она специализируется на аналитике трендов информационной безопасности. Это помогает специалистам по информационной безопасности прогнозировать будущие угрозы и готовиться к ним.

CVE бесплатна для публичного использования в сторонних базах данных, рекомендациях по безопасности и других продуктах. Её можно использовать для поиска и анализа уязвимостей, а также свободно распространять, при условии, что сами записи CVE не будут изменены. Скачать копию списка CVE можно на странице загрузок.

Популярные статьи по теме
Единороги компании PVS-Studio

Дата: 30 Авг 2022

Автор: Андрей Карпов

Скорее всего вы перешли на эту статью, заинтересовавшись одним из наших рисунков единорогов. Приятно видеть ваш интерес. Сейчас мы расскажем, почему рисуем этих единорогов, что они означают и чем воо…
Обрабатывать ли в PVS-Studio вывод других инструментов?

Дата: 26 Май 2022

Автор: Андрей Карпов

Анализатор PVS-Studio умеет "схлопывать" повторяющиеся предупреждения. Предоставляет возможность задать baseline, что позволяет легко внедрять статический анализ в legacy-проекты. Стоит ли предостави…
15000 ошибок в открытых проектах

Дата: 24 Май 2022

Автор: Андрей Карпов

Количество багов в нашей коллекции перевалило за отметку 15000. Именно такое количество ошибок обнаружила команда PVS-Studio в различных открытых проектах. Особенно интересно, что это всего лишь побо…
Комментарии в коде как вид искусства

Дата: 04 Май 2022

Автор: Сергей Хренов

Приветствую всех программистов, а также сочувствующих. Кто из нас хотя бы раз в жизни не оставлял комментарии в коде? Был ли это ваш код, а может, чужой? Что за комментарии вы написали: полезные или …
Visual Studio 2022 стильно и свежо. История о её поддержке в PVS-Studio

Дата: 15 Фев 2022

Автор: Николай Миронов

Кажется, анонс Visual Studio 2022 был только недавно, и вот она уже вышла. Это означало ровно одно – поддержать данную IDE нужно в ближайшем релизе PVS-Studio. О том, с какими сложностями пришлось ст…

Комментарии (0)

Следующие комментарии
Unicorn with delicious cookie
Мы используем куки, чтобы пользоваться сайтом было удобно. Хотите узнать подробнее?
Принять