La base de datos de vulnerabilidades de código abierto ( OSVDB ) era una base de datos de vulnerabilidades independiente y de código abierto . El objetivo del proyecto era proporcionar información técnica precisa, detallada, actual e imparcial sobre vulnerabilidades de seguridad . [1] El proyecto promovió una mayor y más abierta colaboración entre empresas y particulares. El lema de la base de datos era "Todo es vulnerable". [2]
El núcleo de OSVDB era una base de datos relacional que vinculaba información diversa sobre vulnerabilidades de seguridad en una fuente de datos de seguridad abierta común con referencias cruzadas . A partir de diciembre de 2013, la base de datos catalogó más de 100 000 vulnerabilidades. [3] Si bien la base de datos fue mantenida por una organización pública sin fines de lucro 501(c)(3) y voluntarios, los datos estaban prohibidos para uso comercial sin una licencia. A pesar de eso, muchas grandes empresas comerciales utilizaron los datos en violación de la licencia sin contribuir con el tiempo voluntario de los empleados ni con una compensación financiera. [4]
El proyecto se inició en agosto de 2002 en las conferencias Blackhat y DEF CON por varios destacados de la industria (incluidos HD Moore , rain.forest.puppy y otros). Bajo una administración mayoritariamente nueva, la base de datos se lanzó oficialmente al público el 31 de marzo de 2004. [5] La implementación original fue escrita en PHP por Forrest Rae (FBR). Más tarde, todo el sitio fue reescrito en Ruby on Rails por David Shettler.
La Open Security Foundation (OSF) se creó para garantizar el apoyo continuo del proyecto. Jake Kouns (Zel), Chris Sullo, Kelly Todd (AKA Lyger), David Shettler (AKA D2D) y Brian Martin (AKA Jericho) fueron líderes de proyecto para el proyecto OSVDB y ocuparon roles de liderazgo en OSF en varios momentos.
El 5 de abril de 2016, se cerró la base de datos, mientras que Brian Martin continuó inicialmente con el blog. [6] El motivo del cierre fue el uso comercial continuo pero no compensado por parte de las empresas de seguridad. [7]
A partir de enero de 2012, la entrada de vulnerabilidades fue realizada por empleados de tiempo completo de Risk Based Security, [8] quienes proporcionaron el personal para realizar el trabajo con el fin de retribuir a la comunidad. Cada nueva entrada incluía un título completo, cronograma de divulgación, descripción, solución (si se conoce), metadatos de clasificación, referencias, productos e investigador que descubrió la vulnerabilidad (acreditado).