El sistema Common Vulnerabilities and Exposures ( CVE ) proporciona un método de referencia para las vulnerabilidades y exposiciones de seguridad de la información de conocimiento público . El FFRDC de Ciberseguridad Nacional de los Estados Unidos , operado por The Mitre Corporation , mantiene el sistema, con fondos de la División de Seguridad Cibernética Nacional de EE. UU. Del Departamento de Seguridad Nacional de EE. UU. [1] El sistema se lanzó oficialmente al público en septiembre de 1999. [2]
El Protocolo de automatización de contenido de seguridad utiliza CVE, y los ID de CVE se enumeran en el sistema de Mitre, así como en la Base de datos nacional de vulnerabilidades de EE . UU . [3]
La documentación de MITRE Corporation define los identificadores CVE (también llamados "nombres CVE", "números CVE", "ID CVE" y "CVE") como identificadores únicos y comunes para las vulnerabilidades de seguridad de la información públicamente conocidas en paquetes de software publicados públicamente. Históricamente, los identificadores CVE tenían un estado de "candidato" ("CAN-") y luego podían promocionarse a entradas ("CVE-"), sin embargo, esta práctica terminó en 2005 [4] [5] y ahora todos los identificadores están asignados como CVE. La asignación de un número CVE no garantiza que se convierta en una entrada oficial de CVE (por ejemplo, un CVE puede asignarse incorrectamente a un problema que no es una vulnerabilidad de seguridad o que duplica una entrada existente).
Los CVE son asignados por una autoridad de numeración de CVE (CNA). [6] Si bien algunos proveedores actuaban como CNA antes, el nombre y la designación no se crearon hasta el 1 de febrero de 2005. [7] Hay tres tipos principales de asignaciones de números CVE:
Al investigar una vulnerabilidad o una vulnerabilidad potencial, es útil adquirir un número CVE desde el principio. Es posible que los números CVE no aparezcan en las bases de datos de MITRE o NVD CVE durante algún tiempo (días, semanas, meses o potencialmente años) debido a problemas que están embargados (se ha asignado el número CVE pero el problema no se ha hecho público), o en casos en los que MITRE no investigó ni redactó la entrada debido a problemas de recursos. El beneficio de la candidatura temprana de CVE es que toda la correspondencia futura puede hacer referencia al número de CVE. La información sobre cómo obtener identificadores CVE para problemas con proyectos de código abierto está disponible en Red Hat . [8]
Los CVE son para software que se ha lanzado al público; esto puede incluir betas y otras versiones preliminares si se utilizan ampliamente. El software comercial se incluye en la categoría "lanzado al público", sin embargo, el software personalizado que no se distribuye generalmente no recibirá un CVE. Además, a los servicios (por ejemplo, un proveedor de correo electrónico basado en la web) no se les asignan CVE para las vulnerabilidades encontradas en el servicio (por ejemplo, una vulnerabilidad XSS) a menos que el problema exista en un producto de software subyacente que se distribuya públicamente.