Национальная база данных уязвимостей - National Vulnerability Database

В Национальная база данных уязвимостей (NVD) является государственным хранилищем стандартизированных данных управления уязвимостями США, представленных с использованием Протокол автоматизации безопасности контента (SCAP). Эти данные позволяют автоматизировать управление уязвимостями, измерение безопасности и соответствие требованиям. NVD включает в себя базы данных контрольных списков безопасности, связанных с безопасностью недостатков программного обеспечения, неправильных конфигураций, названий продуктов и показателей воздействия. NVD поддерживает Программа автоматизации информационной безопасности (ISAP).

В пятницу 8 марта 2013 г. база данных была отключена после того, как было обнаружено, что система, используемая для запуска нескольких государственных сайтов, была скомпрометирована из-за программной уязвимости Adobe ColdFusion.[1][2]

В июне 2017 г. Записанное будущее показали, что среднее время задержки между раскрытием CVE2 и окончательной публикацией в NVD составляет 7 дней, и что 75% уязвимостей публикуются неофициально до того, как попадают в NVD, что дает злоумышленникам время для использования уязвимости.[3]

В дополнение к предоставлению списка Распространенные уязвимости и подверженности (CVE), NVD оценивает уязвимости с помощью Общая система оценки уязвимостей (CVSS) который основан на наборе уравнений с использованием таких показателей, как сложность доступа и доступность средства защиты.[4]

Смотрите также

Рекомендации

  1. ^ в 17:55, Джек Кларк в Сан-Франциско 14 марта 2013 г. «Сбитый каталог уязвимостей США заражен как минимум ДВА МЕСЯЦА». www.theregister.co.uk. Получено 2019-10-29.
  2. ^ «Национальная база данных уязвимостей США взломана».
  3. ^ «75% уязвимостей, опубликованных в Интернете до публикации NVD». Темное чтение. Получено 2019-10-29.
  4. ^ «NVD - CVSS v2 Equations». nvd.nist.gov. Архивировано из оригинал 21 декабря 2013 г.

внешняя ссылка