自动化和联邦结构是Miter Corporation作为攻击表面蘑菇的战略重点
更新一切始于1999年10月30日,有321个条目。
二十年后 - 到当天(2019年10月30日) -常见漏洞和暴露(CVE)数据库已经成长为包括124,000个注册安全漏洞。
CVE注册表是一个公共已知漏洞的共同标识符的存储库,为自千年以来以来提供了一个共同的词汇来识别和减轻网络弱点。
当它于1999年推出时,用户仍然对冰川缓慢的拨号速度感到沮丧,而Infosec社区因分类学困惑而受到阻碍。
事实上的标准
讲话每日swbeplay2018官网ig去年Chris Levendis是CVE公司CVE项目的CVE项目负责人,该项目维持CVE项目,回顾了多个竞争脆弱性数据库的方式意味着每个人都使用“自己的词汇”。
CVE注册表很快成为事实上的标准,为供应商,研究人员和最终用户提供了共同的命名。
这已注册通用标识符的比率由于证明了Infosec社区面临的脆弱性的令人眼花and乱(并加速)。
2000年,CVE数据库每天添加大约三个新漏洞,这是其存在的第一年。到2005年,这个数字已上升到14个大约14个,而Miter说现在每天注册大约40个新条目。
通过CNA扩展程序
一部分是由新兴的移动,云和物联网市场,全球攻击面的突破性增长促使斜切增加了CVE编号当局(CNA),有权将CVE编号分配给其范围内的漏洞。
包括软件供应商,开源项目,漏洞赏金平台和研究小组在内的CNA数量从2018年5月的87个跃升至目前的104个跨越18个国家的组织。
As well as onboarding “20 (projected) CNAs”, Levendis says the program’s 20th year has seen “the ongoing development of infrastructure services to support governance and operations in a federated environment, and the ongoing engagement of the CVE board and the CNAs to chart and execute the direction of the program”.
该“联邦战略”设计为“扩展计划”并“将CVE的价值交给更广泛的利益相关者”,似乎已经实现了Levendis所描述的目标:扩大CVE计划的采用和覆盖范围,从而扩大了CVE计划,“生产更多的CVE,更快”。
脆弱性趋势
在2005年至2016年之间,注册到CVE数据库的漏洞数量在狭窄的范围内波动 - 随后从2016年的6,447增加128%,至2017年的14,714。
这个数字在2018年和2019年再次攀升至16,556,这一数字正在达到类似的数字。
自动化被认为是继续向上轨迹的关键,CVE董事会成员Karl Landfield告诉每日swbeplay2018官网ig去年,工作组允许董事会成员,CNA和公众帮助进一步自动化。
当被问及最引人注目的脆弱性趋势时,莱文迪斯(Levendis)引用了CWE 25 2019年最危险的软件错误。
通过压倒性的边缘列出了这一共同弱点(CWE)的清单,这是“对内存缓冲区范围内的操作的不当限制”(CWE-119)。
Levendis说:“这款CWE是一个更一般的类别,其中包括其他CWE,例如标准的缓冲区溢出,越野外写的以及越野读物。”
他说:“跨站点的脚本缺陷也很常见。”XSS虫子吸引了全球第二大CVE。
他说:“尽管弱点类型本身并不是脆弱性,”最新的前25名列表使用了一种数据驱动的方法,该方法利用了已发布的CVE主列表,在国家标准和技术研究所(NIST)国家脆弱性中发现的相关CWE映射数据库(NVD)以及常见的脆弱性评分系统(CVSS)与每个CVE相关的分数。”
名称背后的数字
CVE ID通常在安全咨询中,有时在媒体报道网络安全漏洞中引用。
Some of the most famous (or notorious) CVE entries include ‘Heartbleed’ (CVE-2014-0160), Shellshock (CVE-2014-6271, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277, CVE-2014-6278) and BlueKeep (CVE-2019-0708).
揭示新漏洞的安全研究人员必须联系相关的CNA协调CVE ID的分配。
如果漏洞保留在任何CNA的当前汇率之外,则可以联系非CNA供应商。研究人员或非供应商CNA可以向MITER提交ID请求,然后分配CVE ID。
Levendis说:“与供应商或项目进行协调是最重要的,因为供应商和项目对其产品了解最了解,并且可以最佳地验证和确认漏洞。”
经过Miter Corporation的进一步更新,本文于11月4日星期一更新。
