Common Vulnerabilities and Exposures

El sistema Common Vulnerabilities and Exposures (CVE) proporciona un mètode de referència per a vulnerabilitats i exposicions de seguretat de la informació conegudes públicament.^[1] El National Cybersecurity FFRDC dels Estats Units, operat per The MITRE Corporation, manté el sistema, amb finançament de la Divisió Nacional de Ciberseguretat dels EUA del Departament de Seguretat Nacional dels EUA.^[2] El sistema es va llançar oficialment al públic el setembre de 1999.

El protocol d'automatització del contingut de seguretat utilitza CVE i els identificadors de CVE es mostren al sistema de Mitre, així com a la base de dades nacional de vulnerabilitats dels EUA.^[3]

La documentació de MITRE Corporation defineix els identificadors CVE (també anomenats "noms CVE", "números CVE", "ID CVE" i "CVE") com a identificadors únics i comuns per a vulnerabilitats de seguretat de la informació conegudes públicament en paquets de programari publicats públicament. Històricament, els identificadors CVE tenien l'estatus de "candidat" ("CAN-") i després podien ascendir a entrades ("CVE-"), però aquesta pràctica es va acabar l'any 2005 ^[4][5] i ara s'assignen tots els identificadors. com a CVE. L'assignació d'un número de CVE no és una garantia que esdevingui una entrada de CVE oficial (p. ex., un CVE pot estar assignat incorrectament a un problema que no és una vulnerabilitat de seguretat o que dupliqui una entrada existent).

Els CVE són assignats per una autoritat de numeració CVE (CNA).^[6] Si bé alguns venedors van actuar com a CNA abans, el nom i la designació no es van crear fins a l'1 de febrer de 2005.^[7] Hi ha tres tipus principals d'assignació de números CVE:

1. La Corporació Mitre funciona com a editor i CNA principal
2. Diversos CNA assignen números CVE per als seus propis productes (p. ex., Microsoft, Oracle, HP, Red Hat)
3. Un coordinador de tercers, com ara el Centre de Coordinació CERT, pot assignar números CVE per a productes no coberts per altres CNA.

Quan s'investiga una vulnerabilitat o una vulnerabilitat potencial, ajuda a adquirir un número CVE des del principi. És possible que els números CVE no apareguin a les bases de dades MITRE o NVD CVE durant algun temps (dies, setmanes, mesos o possiblement anys) a causa de problemes que estan embargats (el número CVE s'ha assignat però no s'ha fet públic) o casos en què MITRE no investiga i redacta l'entrada per problemes de recursos. L'avantatge de la candidatura primerenca de CVE és que tota la correspondència futura pot fer referència al número de CVE. La informació sobre com obtenir identificadors de CVE per problemes amb projectes de codi obert està disponible a Red Hat ^[8] i GitHub.^[9]

Els CVE són per a programari que s'ha publicat públicament; això pot incloure betas i altres versions prèvies si s'utilitzen àmpliament. El programari comercial s'inclou a la categoria "alliberat públicament", però el programari personalitzat que no es distribueix en general no rebria un CVE. A més, els serveis (per exemple, un proveïdor de correu electrònic basat en web) no tenen assignats CVE per a les vulnerabilitats que es troben al servei (per exemple, una vulnerabilitat XSS) tret que el problema existeixi en un producte de programari subjacent que es distribueix públicament.