Muitos grupos de segurança, fornecedores e outras organizações envolvidas na pesquisa de vulnerabilidades identificam vulnerabilidades em sistemas quase que diariamente. Existem muitas variações em relação a essas vulnerabilidades relatadas por diferentes fornecedores. Às vezes, é difícil identificar se uma vulnerabilidade relatada por diferentes fornecedores é a mesma ou diferente.
Para resolver esta anomalia, muitos fornecedores de segurança, fornecedores de software e outros grupos empresariais similares formaram um esforço mundial com o resultado desse grupo que é um dicionário on-line de vulnerabilidades e exposições. Este dicionário on-line é chamado de Vulnerabilidades e Exposições Comuns (CVE) e é patrocinado pelo Departamento de Segurança Interna (DHS) dos Estados Unidos.
CVE sendo um dicionário on-line de vulnerabilidades, há um esforço do Instituto Nacional de Padrões e Tecnologia (NIST), EUA, como parte de seu Programa de Automação de Segurança da Informação (ISAP), fornece uma classificação de criticalidade ou pontuação para vulnerabilidades listadas no CVE. Esta pontuação é chamada de Sistema de Pontuação de Vulnerabilidade Crítica (CVSS), e está contida em um banco de dados on-line denominado Banco Nacional de Vulnerabilidade (NVD).
No comments:
Post a Comment