CVE ( English Common Vulnerabilities and Exposures ) es una base de datos de vulnerabilidades de seguridad de la información conocidas . A cada vulnerabilidad se le asigna un número de identificación en el formato CVE-year-number [1] , una descripción y una serie de enlaces disponibles públicamente con una descripción.
CVE es mantenido por la organización MITRE .
El proyecto CVE está financiado por US-CERT .
El proyecto CVE se lanzó oficialmente al público en septiembre de 1999. En ese momento, la mayoría de las herramientas de seguridad de la información usaban sus propias bases de datos con sus propios nombres para las vulnerabilidades. Había diferencias significativas entre los productos y no había una manera fácil de saber cuándo diferentes bases de datos se referían al mismo problema. Las consecuencias fueron brechas potenciales en la cobertura de seguridad y falta de compatibilidad entre bases de datos y herramientas dispares. Además, los proveedores de herramientas contaron la cantidad de vulnerabilidades que encontraron de manera diferente.
Se ve así: CVE ID, Referencia y Descripción
El ID se escribe con el año y el número de serie, por ejemplo, "CVE-2017-5754". El campo Referencia contiene enlaces a parches, documentos de asesoramiento o comentarios de desarrolladores. La descripción es responsable de describir la vulnerabilidad en sí. CVE es un sistema de base amplia y no se enfoca solo en las vulnerabilidades del lado del cliente o únicamente en el protocolo WEB. Inicialmente, se concibió como un estándar único para identificar vulnerabilidades, que debería cubrir varias partes de un sistema de información: un sistema para buscar y detectar brechas (por ejemplo, un escáner de seguridad), software antivirus y software bajo investigación.
También hay otros clasificadores. Al trabajar con ellos, debe prestar atención a los autores, ya que cada sistema de clasificación debe ser creado por expertos en el campo de la seguridad de la información.