A CVE ( angolul Common Vulnerabilities and Exposures ) a jól ismert információbiztonsági sebezhetőségek adatbázisa . Minden sérülékenységhez hozzárendelnek egy azonosító számot CVE-year-number [1] formában , egy leírást, valamint számos nyilvánosan elérhető hivatkozást leírással.
A CVE-t a MITER szervezet tartja karban .
A CVE projektet az US-CERT finanszírozza .
A CVE projekt hivatalosan 1999 szeptemberében jelent meg a nyilvánosság számára. Akkoriban a legtöbb információbiztonsági eszköz saját adatbázist használt saját névvel a sebezhetőségekhez. Jelentős különbségek voltak a termékek között, és nem volt egyszerű módja annak megállapítására, hogy a különböző adatbázisok mikor hivatkoznak ugyanarra a problémára. A következmények a biztonsági lefedettség esetleges hiányosságai, valamint a különböző adatbázisok és eszközök közötti kompatibilitás hiánya voltak. Ezenkívül az eszközgyártók eltérően számolták meg a talált sebezhetőségek számát.
Így néz ki: CVE azonosító, hivatkozás és leírás
Az azonosító szerepel az évszámmal és a sorozatszámmal, például "CVE-2017-5754". A Hivatkozás mező hivatkozásokat tartalmaz javításokra, tanácsadó dokumentumokra vagy fejlesztői megjegyzésekre. A leírás felelős magának a sérülékenységnek a leírásáért. A CVE egy széles alapokon nyugvó rendszer, és nem csak a kliensoldali sebezhetőségekre, vagy kizárólag a WEB protokollra összpontosít. Eredetileg a biztonsági rések azonosítására szolgáló egységes szabványnak készült, amelynek az információs rendszer több részét is le kell fednie: a hiányosságok felkutatására és észlelésére szolgáló rendszert (például biztonsági szkenner), vírusirtó szoftvert és vizsgált szoftvert.
Vannak más osztályozók is. Amikor velük dolgozik, ügyeljen a szerzőkre, mivel minden osztályozási rendszert az információbiztonság területén dolgozó szakembereknek kell létrehozniuk.