Система идентификации уязвимостей
Common Vulnerabilities and Exposures (CVE) или «Система идентификации уязвимостей» представляет собой каталог известных угроз безопасности. Каталог спонсируется Департаментом внутренней безопасности США, все представленные в нем угрозы делятся на две категории: уязвимости и риски.
По данным сайта CVE, уязвимость представляет собой ошибку в программном коде, которая обеспечивает злоумышленнику получение прямого доступа к системе или сети. Например, уязвимость может позволить злоумышленнику подключиться в качестве суперпользователя или администратора сети, который имеет полные права доступа. Возможность воздействия или риск, с другой стороны, определяется как ошибка в коде программного обеспечения или конфигурации, которая обеспечивает злоумышленнику косвенный доступ к системе или сети. Например, возможность воздействия может позволить злоумышленнику тайно собирать информацию о клиентах, с которыми работает компания, с целью их дальнейшей продажи.
Основная цель этого каталога состоит в стандартизации того, как каждая известная уязвимость или воздействие идентифицируется. Это важно, потому что стандартные идентификаторы позволяют администраторам безопасности быстро получить доступ к технической информации о конкретной угрозе на нескольких CVE-совместимых информационных источниках.
CVE спонсируется US-CERT, отделением DHS кибербезопасности и коммуникаций. MITRE, некоммерческая организация, которая работает как научно-исследовательский центр, финансируемый федеральным правительством США, поддерживает и разрабатывает каталог CVE и общественный веб-сайт проекта. Этот некоммерческий проект также управляет программой CVE совместимости, что способствует использованию стандартных идентификаторов CVE уполномоченными CVE Numbering Authorities (CNAs).