2010-05-13 10:28:00

Izvori informacija o sigurnosnim ranjivostima

Sigurnosna ranjivost definira se kao nedostatak koji zlonamjernom korisniku omogućuje narušavanje sigurnosti sustava i/ili informacija. Može se manifestirati preko pogrešaka u kodu, implementaciji, validaciji podataka, protokolima i sl.

Budući da gotovo svaki programski proizvod sadrži sigurnosne ranjivosti, razvijene su metode za njihovo sustavno praćenje. One uključuju pronalaženje i analizu ranjivosti, obavještavanje proizvođača, suradnju pri otklanjanju ranjivosti te javnu objavu informacija i rješenja.

Razne sigurnosne organizacije (npr. Mitre, Secunia, SecurityFocus i dr.) uvele su vlastite postupke za praćenje ranjivosti te definirale posebne identifikatore ranjivosti koji omogućuju lakšu pretragu baza podataka o ranjivostima. Postojanje velikog broja izvora informacija o sigurnosnim ranjivostima dovelo je do potrebe za jednim referentnim standardom koji će omogućiti jednostavnije povezivanje i suradnju.

Upravo tu zadaću ima standard i baza podataka CVE (eng. Common Vulnerabilities and Exposures). Ovaj dokument sadrži uvod u definiciju i postupak praćenja sigurnosnih ranjivosti. Također, navedeni su i opisani svi poznati identifikatori ranjivosti i pripadajuće baze podataka. Na kraju su navedeni i najčešći problemi vezani uz održavanje nekog izvora sigurnosnih ranjivosti.

Spomenutom dokumentu možete pristupiti ovdje.


Javni web CARNeta