- Common Vulnerabilities and Exposures
-
Pour les articles homonymes, voir CVE.
Common Vulnerabilities and Exposures ou CVE est un dictionnaire des informations publiques relatives aux vulnérabilités de sécurité. Le dictionnaire est maintenu par l'organisme MITRE, soutenu par le Département de la Sécurité intérieure des États-Unis.
Sommaire
Identifiants CVE
Les identifiants CVE sont des références de la forme CVE-AAAA-NNNN (AAAA est l'année de publication et NNNN un numéro incrémenté).
Le contenu du dictionnaire CVE peut être téléchargé[1]. Cette liste contient une description succincte de la vulnérabilité concernée, ainsi qu'un ensemble de liens que les utilisateurs peuvent consulter pour plus d'informations.
Compatibilité CVE
Il existe de nombreux produits de sécurité qui traitent de vulnérabilités et qui utilisent donc les identifiants CVE :
- les services d'information sur les vulnérabilités,
- les systèmes de détection d'intrusion,
- les systèmes de prévention d'intrusion,
- les scanneurs de vulnérabilités,
- les outils de gestion de parc informatique,
- etc.
Afin que ces produits utilisent avec rigueur les identifiants CVE, le MITRE a mis en place une procédure de compatibilité CVE qui impose notamment :
- un affichage des identifiants CVE (« CVE Output »),
- une fonctionnalité de recherche parmi les identifiants CVE (« CVE Searchable »),
- une procédure de mise à jour de la base de données (« Mapping »),
- une aide sur les concepts relatifs à CVE (« Documentation »).
Produits français compatibles CVE
Le MITRE indique la liste des produits compatibles CVE ou ayant entamé une procédure de certification[2].
En date du 5 novembre 2008, cette liste indique un seul produit français compatible CVE :
- Veille vulnérabilités Vigil@nce (compatible depuis le 24 février 2004)
Certains produits ont déclaré être compatibles et ont demandé un audit auprès du MITRE :
- Cert-IST Knowledge Base (déclaration mise à jour le 30 avril 2007)
- Security Database (déclaration déposée le 23 mars 2007)
D'autres produits ont rédigé une déclaration, mais n'ont pas engagé de procédure de certification :
- Criston Vulnerability Management
- Numara Software Vulnerability Management
- VUPEN Security Advisories
- INTRINsec Cit@delle
Notes et références
Voir aussi
Articles connexes
Liens externes
Wikimedia Foundation. 2010.