CVE(Common Vulnerabilities and Exposures通用漏洞披露)笔记
产生背景:目前实时入侵检测和漏洞扫描评估基于的主要方法还是“已知入侵手法检测”和“已知漏洞扫描”,即基于知识库的技术,因此决定一个IDnA(Intrusion Detection and Assessment 实时入侵检测和漏洞扫描评估)技术和产品的重要标志就是能够检测的入侵种类和漏洞数量。但在安全产业中存在着安全漏洞与系统缺陷等安全问题命名混乱的现象,需要进行标准化。
什么是CVE:CVE(Common Vulnerabilities and Exposures通用漏洞披露),是国际上一个著名的漏洞知识库,也是目前在国际上最具公信力的安全弱点披露与发布单位,CVE组织是一个由企业界、政府界和学术界综合参与的国际组织,其使命是通过非盈利的组织形式,对漏洞与暴露进行统一标识,使得用户和厂商对漏洞与暴露有统一的认识,从而更加快速而有效地去鉴别、发现和修复软件产品的脆弱性。CVE于1999年9月建立,目前其命名方案由MITER公司主持。
漏洞(Vulnerability)与暴露(Exposure):在所有合理的安全策略中都被认为是有安全问题的称之为“Vulnerability”,漏洞可能导致攻击者以其他用户身份运行,突破访问限制,转攻另一个实体,或者导致拒绝服务攻击等。对那些在一些安全策略中认为有问题,在另一些安全策略中可以被接受的情况,称之为“Exposure”,暴露可能仅仅让攻击者获得一些边缘性的信息,隐藏一些行为;可能仅仅是为攻击者提供一些尝试攻击的可能性;可能仅仅是一些可以忍受的行为,只有在一些安全策略下才认为是严重问题。如,finger服务,可能为入侵者提供很多有用的资料,但是该服务本身有时是业务必须的,因此不能说该服务本身有安全问题,宜定义为Exposure而非Vulnerability.
CVE的特点:为每个漏洞和暴露确定了唯一的名称;给每个漏洞和暴露一个标准化的描述;不是一个数据库,而是一个字典;任何完全迥异的漏洞库都可以用同一个语言表述;由于语言统一,可以使得安全事件报告更好地被理解,实现更好的协同工作;可以成为评价相应工具和数据库的基准。
CVE认证:CVE兼容(CVE Compatible)意味着一个工具、网站、数据库或者其它安全产品使用CVE名称,并且允许与其它使用CVE命名方式的产品交叉引用。通常,各家企业产品在获得CVE最高级别认证(CVE Compatible)之前,需经过5个评审阶段,这包括:CVE Intent Declared、Declared CVE Output、Declared CVE Searchable、Declared CVE Output &Searchable和CVE Compatibility Questionnaire Posted
转载于:https://www.cnblogs.com/evangel/archive/2009/02/06/1385160.html
CVE(Common Vulnerabilities and Exposures通用漏洞披露)笔记相关推荐
- AI Security3-通用漏洞披露(CVE: Common Vulnerabilities and Exposures)
这是目录 1 漏洞的来源 2 漏洞分析 2.1 数据来源 2.2 数据分析 3 举例 回顾之前的内容 逃逸攻击 投毒攻击 在前文中,我们介绍了Attack AI的基础概念,即黑客对AI发起的攻击,主要 ...
- 通用漏洞评估方法CVSS3.0介绍
CVSS(Common Vulerability Scoring System, 通用漏洞评估方法),是由NIAC 发布.FITST维护的开放式行业标准,CVSS 的发布为信息安全产业从业人员交流网络 ...
- 通用漏洞评估方法CVSS3.0详解
CVSS(Common Vulerability Scoring System, 通用漏洞评估方法),是由NIAC 发布.FITST维护的开放式行业标准,CVSS 的发布为信息安全产业从业人员交流网络 ...
- 【每日新闻】2017年漏洞披露数量创纪录达20,832个 | 朱啸虎评ICO:考验人性的模式从来就没有成功过
每一个企业级的人 都置顶了 中国软件网 中国软件网 为你带来最新鲜的行业干货 小编点评 每一个持续进行的模式 都有各自的道理 包括风险投资 趋势洞察 朱啸虎评ICO:考验人性的模式从来就没有成功过 ...
- 【安全资讯】《网络产品安全漏洞管理规定》出台,漏洞披露者的紧箍咒?
作者|暗中观察的云鹏 来源| 中关村在线 发布时间|2021-07-15 近日,工业和信息化部.国家互联网信息办公室.公安部正式印发<网络产品安全漏洞管理规定>(以下简称<规定> ...
- 专家 | 黄道丽:网络安全漏洞披露规则及其体系设计
摘要 网络安全漏洞披露已成为网络安全风险控制的中心环节.不规范或非法的网络安全漏洞披露危害网络空间整体安全,凸显法律规定的灰色地带.实践中网络安全漏洞披露表现为不披露.完全披露.负责任披露和协同披露等 ...
- 美国会议员提出“漏洞披露法案” 仍考虑非中立实体授权
白宫网络安全协调员罗伯·乔伊斯本周在波士顿举办的科技领袖会议上表示,特朗普政府已经在关注一项政策程序改革提议,即决定如何处理新发现的软件零日漏洞. 该政策程序被称为"漏洞公平裁决程序&quo ...
- 记一次CNVD通用漏洞审计
本文转载于:https://www.freebuf.com/articles/web/290697.html 0x01 前言 写这篇文章的缘由其实还挺魔幻的,起因是在一次实战渗透时通过弱口令拿下一个低 ...
- 谷歌漏洞披露规则增加30天补丁缓冲期;Reddit 公开漏洞奖励计划
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码安全卫士 本周,Reddit 宣布在 HackerOne 平台推出公开漏洞奖励计划,最高赏金为1万美元.谷歌 Project Zero 更改漏洞 ...
最新文章
- .net core 中的[FromBody]
- 【Android】ViewPager实现无限循环滚动
- python宝石与石头_771. 宝石与石头
- [转] Ghost自动安装
- 从numpy里加载_PyTorch强化:01.PyTorch 数据加载和处理
- html 自定义文件选择,html5 自定义文件上传
- object not found php,找不到PHP错误对象
- java之模块学习-接口回调机制详解
- UML?类图中聚合和组合的区别
- 直播网站源码H5直播入门(理论篇)
- java 开源框架集
- 倩女幽魂服务器维修什么意思,《倩女幽魂》2月7日游戏服务器维护内容
- 苹果xsmax有高通基带吗_苹果iPhone 12拆解:确认采用高通骁龙X55基带芯片
- 获评优秀案例!IMG光线追踪技术实现卓越云游戏体验
- matlab:正态分布的概率密度图形
- 如何衡量一篇英语作文词汇丰富度?
- 【超详细分析】关于三次握手与四次挥手面试官想考我们什么?
- 杰里之开立体声左右声道数据对调---【篇】
- #五、双波不干涉理论的预测应用方式
- EGE基础入门篇(六):基本图形