CVE ( Engelska Common Vulnerabilities and Exposures ) är en databas med välkända sårbarheter i informationssäkerhet . Varje sårbarhet tilldelas ett identifikationsnummer i formen CVE-årnummer [1] , en beskrivning och ett antal allmänt tillgängliga länkar med en beskrivning.
CVE underhålls av MITER- organisationen .
CVE-projektet finansieras av US-CERT .
CVE-projektet lanserades officiellt för allmänheten i september 1999. På den tiden använde de flesta informationssäkerhetsverktyg sina egna databaser med egna namn för sårbarheter. Det fanns betydande skillnader mellan produkter och det fanns inget enkelt sätt att avgöra när olika databaser hänvisade till samma problem. Konsekvenserna var potentiella luckor i säkerhetstäckningen och bristande kompatibilitet mellan olika databaser och verktyg. Dessutom räknade verktygsleverantörer antalet sårbarheter de hittade på olika sätt.
Ser ut så här: CVE ID, referens och beskrivning
ID:t skrivs med årtal och serienummer, till exempel "CVE-2017-5754". Referensfältet innehåller länkar till patchar, rådgivande dokument eller utvecklarkommentarer. Description ansvarar för att beskriva själva sårbarheten. CVE är ett brett baserat system och fokuserar inte bara på sårbarheter på klientsidan eller enbart på WEB-protokollet. Från början var det tänkt som en enda standard för att identifiera sårbarheter, som skulle täcka flera delar av ett informationssystem: ett system för att söka och upptäcka luckor (till exempel en säkerhetsskanner), antivirusprogram och programvara som undersöks.
Det finns även andra klassificerare. När du arbetar med dem bör du vara uppmärksam på författarna, eftersom varje klassificeringssystem måste skapas av experter inom informationssäkerhetsområdet.