Wikipedia

Common Vulnerabilities and Exposures: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
m Fix link
m Fix link ad en:wiki
Riga 1:
{{S|sicurezza informatica}}
Il '''''Common Vulnerabilities and Exposures''''', o '''CVE''' (in italiano '''Vulnerabilità ed esposizioni comuni'''), è un dizionario di vulnerabilità e falle di sicurezza note pubblicamente. È mantenuto dalla [[:en:MITRE Corporation|MITRE Corporation]] ed è finanziato dalla [[:en:National Cybersecurity FFRDC|National Cybersecurity FFRDC]] del [[United States Department of Homeland Security|Dipartimento della Sicurezza interna degli Stati Uniti]].<ref>{{Cita web | titolo = CVE - Common Vulnerabilities and Exposures | autore= [[:en:MITRE Corporation|MITRE Corporation]] | data= 3 luglio 2007 | url = http://cve.mitre.org/ | accesso= 20-11-2008}}</ref>
Il CVE è utilizzato dal [[:en:Security Content Automation Protocol|Security Content Automation Protocol]] (SCAP) e le vulnerabilità, identificate da un identificatore univoco, sono elencate nel sistema [[:en|MITRE]] e nel [[:en:National Vulnerability Database|National Vulnerability Database]] americano. L’identificazione univoca delle CVE permette una maggiore comunicazione nel mondo della sicurezza e aiuta nella valutazione della diffusione di servizi e strumenti.<ref>{{Cita web |titolo = CVE - Common Vulnerabilities and Exposures | url = http://cve.mitre.org/ | accesso= 06-06-2016 | citazione = CVE’s common identifiers enable data exchange between security products and provide a baseline index point for evaluating coverage of tools and services.}}</ref>
 
Come detto nel sito CVE, il principale metodo per richiedere l’inserimento di una vulnerabilità tra quelle conosciute è farne richiesta a una CNA (CVE Numbering Authorities), organizzazioni di ricerca, ricercatori nel campo della sicurezza e produttori di sistemi operativi.
Tra essi possiamo trovare: [[Adobe Systems|Adobe]], [[Apple]], [[Attachmate]], [[BlackBerry]], [[:en:CERT Coordination Center|CERT Coordination Center]], [[Cisco Systems|Cisco]], [[Debian GNU/Linux]], [[Distributed Weakness Filing Project]], [[EMC Corporation|EMC]], [[FreeBSD]], [[Google]], [[Hewlett-Packard|HP]], [[IBM]], [[ICS-CERT]], [[JPCERT/CC]], [[Juniper Networks|Juniper]], [[Microsoft]], [[:en|MITRE]] (CNA primaria), [[Mozilla]], [[Oracle]], [[Red Hat]], [[Silicon Graphics]], [[Symantec]] and [[Ubuntu Linux]].<ref>{{Cita web | titolo = CNA - CVE Numbering Authorities | url = http://cve.mitre.org/cve/cna.html#participating_cnas | accesso= 06-06-2016}}</ref>
 
== Identificatori CVE ==
Riga 16:
 
I numeri CVE possono non risultare nel National Vulnerability Database o nei database del MITRE per diverso tempo (da giorni ad anni) a causa di problemi relativi alla loro divulgazione (la loro catalogazione è stata approvata ma non sono stati resi pubblici).
Informazioni su come ottenere ID CVE relativi a progetti Open Source sono disponibili sul sito di Red Hat.<ref>{{Cita web | titolo = CVE OpenSource Request HOWTO | autore = [[:en:Red Hat Inc.|Red Hat Inc.]] | url = https://people.redhat.com/kseifrie/CVE-OpenSource-Request-HOWTO.html | accesso = 07-06-2016 | citazione = There are several ways to make a request depending on what your requirements are: }}</ref>
 
Le CVE riguardano software pubblicamente rilasciati, incluse le versioni beta, quelle in pre-ordine (se largamente diffuse) e i programmi commerciali. Tra le categorie a cui non vengono assegnate CVE troviamo sistemi custom non distribuiti e servizi addizionali (ad esempio provider di posta web-based con criticità quali il [[Cross-site scripting]]) a meno che il problema non sia presente in un software sottostante pubblicamente distribuito.
Estratto da "https://it.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures"