La vulnerabilidad de base de datos de código abierto ( OSVDB ) era una organización independiente y de código abierto base de datos de vulnerabilidad . El objetivo del proyecto era proporcionar información técnica precisa, detallada, actualizada e imparcial sobre las vulnerabilidades de seguridad . [1] El proyecto promovió una colaboración mayor y más abierta entre empresas y particulares. El lema de la base de datos era "Todo es vulnerable". [2]
El núcleo de OSVDB era una base de datos relacional que vinculaba diversa información sobre vulnerabilidades de seguridad en una fuente de datos de seguridad abierta común y con referencias cruzadas . A diciembre de 2013, la base de datos catalogó más de 100.000 vulnerabilidades. [3] Si bien la base de datos fue mantenida por voluntarios y una organización pública sin fines de lucro 501 (c) (3), los datos fueron prohibidos para uso comercial sin una licencia. A pesar de eso, muchas grandes empresas comerciales utilizaron los datos en violación de la licencia sin aportar tiempo de voluntariado de los empleados ni compensación financiera. [4]
Historia
El proyecto se inició en agosto de 2002 en las Conferencias Blackhat y DEF CON por varios notables de la industria (incluidos HD Moore , rain.forest.puppy y otros). Bajo una administración mayoritariamente nueva, la base de datos se lanzó oficialmente al público el 31 de marzo de 2004. [5] La implementación original fue escrita en PHP por Forrest Rae (FBR). Más tarde, David Shettler reescribió todo el sitio en Ruby on Rails.
La Open Security Foundation (OSF) se creó para garantizar el apoyo continuo del proyecto. Jake Kouns (Zel), Chris Sullo, Kelly Todd (AKA Lyger), David Shettler (AKA D2D) y Brian Martin (AKA Jericho) fueron líderes de proyecto para el proyecto OSVDB y ocuparon puestos de liderazgo en OSF en varias ocasiones.
El 5 de abril de 2016, la base de datos se cerró, mientras que el blog fue inicialmente continuado por Brian Martin. [6] La razón del cierre fue el uso comercial continuo pero no compensado por parte de las empresas de seguridad. [7]
A partir de enero de 2012, el ingreso de vulnerabilidades fue realizado por empleados de tiempo completo de Risk Based Security, [8] quienes proporcionaron el personal para hacer el trabajo con el fin de retribuir a la comunidad. Cada nueva entrada incluía un título completo, cronograma de divulgación, descripción, solución (si se conoce), metadatos de clasificación, referencias, productos e investigador que descubrió la vulnerabilidad (acreditado).
Proceso
Originalmente, las divulgaciones de vulnerabilidades publicadas en varias listas de seguridad y sitios web se ingresaron en la base de datos como una nueva entrada en la cola de New Data Mangler (NDM). La nueva entrada contenía solo un título y enlaces a la divulgación. En esa etapa, la página de la nueva entrada no contenía ninguna descripción detallada de la vulnerabilidad ni metadatos asociados. Cuando el tiempo lo permitió, se analizaron y perfeccionaron las nuevas entradas, agregando una descripción de la vulnerabilidad y una solución si estaba disponible. Esta actividad general se llamó "manipulación de datos" y alguien que realizó esta tarea un "manipulador". La manipulación fue realizada por voluntarios básicos o casuales. Los detalles enviados por los voluntarios fueron revisados por los voluntarios principales, llamados "moderadores", refinando aún más la entrada o rechazando los cambios de los voluntarios si es necesario. La nueva información agregada a una entrada que fue aprobada estaba disponible para cualquiera que navegara por el sitio.
Colaboradores
Algunas de las personas que se ofrecieron como voluntarias y mantuvieron OSVDB :
- Jake Kouns (oficial de OSF, moderador)
- Chris Sullo (oficial de OSF, moderador)
- Brian Martin (oficial de OSF, moderador)
- Kelly Todd (oficial de OSF, moderadora)
- David Shettler (oficial de OSF, desarrollador)
- Forrest Rae (Desarrollador)
Otros voluntarios que han ayudado en el pasado incluyen:
- Steve Tornio (Moderador)
- Alexander Koren (Mangler)
- Travis Schack (Mangler)
- Susam Pal (Mangler)
- Christian Seifert (Mangler)
- Zain Memon
Referencias
- ^ Rosencrance, Linda (16 de abril de 2004). "Breve: la base de datos de vulnerabilidades se activa" . Computerworld . Consultado el 15 de agosto de 2020 .
- ^ "Las estadísticas de vulnerabilidad de software sesgadas que elogian a Microsoft fueron un 101% engañosas" . Consultado el 20 de mayo de 2020 .
- ^ "Llegamos a la marca de los 100.000 ..." . 20 de enero de 2014 . Consultado el 22 de enero de 2020 .
- ^ "McAfee acusado de McSlurping Open Source Vulnerability Database" . www.theregister.com . Consultado el 15 de agosto de 2020 .
- ^ Gold, Jon (7 de abril de 2016). "La base de datos de vulnerabilidades de código abierto se cierra" . Mundo de la red . Consultado el 22 de enero de 2020 .
- ^ "OSVDB: Fin" . 5 de abril de 2016. Archivado desde el original el 28 de mayo de 2016 . Consultado el 22 de enero de 2020 .
- ^ Kovacs, Eduard. "McAfee emite respuesta a las acusaciones de OSVDB con respecto al raspado de datos" . softpedia . Consultado el 15 de agosto de 2020 .
- ^ "Página de inicio" . RBS . Consultado el 15 de agosto de 2020 .