罗伯特·马丁,CVE兼容性铅和约翰•Hermano漏洞评估产品经理,趋势科技,Inc .)在斜接在一个特殊的仪式。

劳伦斯·c·黑尔us - cert /国土安全部和彼得•合金X-Force情报总监网络安全系统,Inc .)国际空间站(ISS)和Lori鲍尔,颁奖典礼在横切的兼容性CSI计算机会议。

劳伦斯·c·黑尔us - cert /国土安全部和迪遗产集团产品经理在赛门铁克DeepSight威胁管理服务公司,在横切的兼容性颁奖典礼CSI计算机会议。

斜接的CVE兼容性的颁奖典礼CSI计算机会议。前排左到右,加里•Miliefsky PredatorWatch, Inc .);道格•埃姆斯PredatorWatch Inc .);和肯特郡Landfield, Citadel安全软件公司后排从左到右,皮特•塔斯克主教法冠公司;彼得合金、互联网安全系统有限公司;洛丽·鲍尔,互联网安全系统有限公司;劳伦斯·c·黑尔us - cert /安全部;斯科巴基因还,达数字安全公司。迈克·默里nCircle网络安全公司。迪的遗产,赛门铁克公司; and Sam Kline, SAINT Corporation.

劳伦斯·c·黑尔us - cert /国土安全部和肯特Landfield Citadel安全组主管安全软件公司,在横切的兼容性颁奖典礼CSI计算机会议。

劳伦斯·c·黑尔us - cert /国土安全部和斯科巴基因还,联邦操作主管达安全、颁奖典礼在横切的兼容性CSI计算机会议。

劳伦斯·c·黑尔us - cert /国土安全部和迈克•穆雷nCircle网络安全的脆弱性和风险研究主管,公司和斯科巴基因还,联邦操作主管达安全、颁奖典礼在横切的兼容性CSI计算机会议。

劳伦斯·c·黑尔us - cert /国土安全部和山姆·克莱恩圣公司的首席工程师,在横切的兼容性颁奖典礼CSI计算机会议。

二十9组织的信息安全产品和服务的最新实现横切的正式的最后阶段CVE兼容性过程,现在正式”CVE-compatible”。每个产品现在有资格使用CVE-Compatible产品/服务标志,和完成并审查”CVE兼容性需求评估”问卷调查发布他们的产品清单的一部分CVE-Compatible产品和服务CVE网站页面。2月14个产品从以前宣布正式兼容。

以下产品已经注册为正式“CVE-Compatible”:

使用官方CVE-Compatible标志这些组织将允许系统管理员和其他安全专家寻找标志采用脆弱性管理时对自己企业的产品和服务。兼容性过程问卷可以帮助最终用户比较不同的产品满足CVE兼容性要求,因此这对他们的网络和系统具体的实现是最好的。

今晚举行一个颁奖仪式在剧场供应商跟踪演示计算机安全研究所(CSI)31日年度计算机安全会议和展览,2004年11月8日,在万豪Wardman公园酒店,在华盛顿特区,USA, to present Certificates of CVE Compatibility to the organizations that have achieved this final phase. Lawrence C. Hale, the Deputy Director of the National Cyber Security Division, U.S. Computer Emergency Readiness Team (US-CERT) at the Department of Homeland Security, presented the awards. Organizations participating in the ceremony included Citadel Security Software Inc.; eEye Digital Security; Internet Security Systems, Inc.; nCircle Network Security, Inc.; PredatorWatch, Inc.; SAINT Corporation; and Symantec Corporation.

额外信息CVE兼容性和审查列出的所有产品和服务,访问CVE兼容性过程和CVE-Compatible产品和服务页面。

斜接主机CVE /椭圆形展台FIAC 2004

斜方举办了CVE /椭圆形参展商展位的联邦信息安全保障会议(FIAC) 2004年10月26日- 27日,2004年在斯特兰德大学的马里兰大学学院,美国马里兰州。会议是成功的,并且暴露了CVE和椭圆形的网络和系统管理员、安全从业者,采办官员、系统安全官员、联邦管理者,授信人和认证机构从众多的美国联邦政府的机构。

参观CVE日历页面信息和其他即将来临的事件。联系cve@mitre.orgCVE呈现一个简报或参与小组讨论CVE,椭圆形,和/或其他脆弱性管理主题在你的事件。

会议CVE展位的照片无网络安全2004

主教法冠CVE /托管椭圆形参展商展位在无网络安全20042004年9月30 - 10月1日,在拉斯维加斯,内华达州,美国。请参阅下面的照片。

CVE兼容性里程碑:200产品和服务现在上市了!

CVE计划实现202信息安全产品和服务的一个重要里程碑中列出CVE-Compatible产品和服务部分的CVE网站。这200个产品已经宣布CVE-compatible或者正在被125年组织了兼容的行业,政府和学术界来自世界各地。其中,14个产品/服务从10组织取得了横切的正式的最后阶段CVE兼容性过程,现在正式CVE-compatible。这些都是表示与CVE-Compatible CVE-Compatible产品和服务部分的产品/服务的标志。

“CVE-compatible”意味着一个产品或服务使用CVE名字的方式也使其交联与其他存储库,使用CVE名称的记录CVE兼容性要求。CVE网站上列出的几项包括组织的主页链接、产品或服务名称、类型的产品,产品链接到主页,符号的特定点CVE兼容性过程每个产品或服务已经达到。许多组织有多个上市的产品和服务。额外的可用性,他们也上市了产品类型,产品名称,组织,国家。产品类型包括漏洞数据库;安全档案和报告;漏洞评估和修复;入侵检测、管理、监控和反应;事件管理;数据和事件关联;教育材料;和防火墙。

参观CVE-Compatible产品和服务页面查看信息CVE兼容性,在所有200信息安全产品和服务。

PredatorWatch公司使CVE兼容性声明

PredatorWatch公司。已经宣布它的漏洞评估设备和更新服务中小企业,PredatorWatch审计师16和更新服务;其漏洞评估为小型移动网络设备和更新服务,PredatorWatch审计师128和更新服务;及其脆弱性评估为大型网络设备和更新服务,PredatorWatch审计企业和更新服务;CVE-compatible。关于这些和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

ThreatGuard公司使CVE兼容性声明

ThreatGuard公司。已经宣布它的漏洞管理系统、CVE-compatible ThreatBox网络安全设备。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

骨干Security.com Inc .使CVE兼容性声明

骨干Security.com Inc .)宣布,其网络设备和管理服务,2100年胸腔CVE-compatible。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

5周年问答与CVE联合创始人大卫·曼

五年前横切高级工程师David Mann共同CVE与当前的编辑CVE列表史蒂夫Christey。曼左斜方公开后不久推出CVE去寻求其他的机会但是已经返回,允许一个独特的内幕/ CVE倡议的局外人的观点。

从供应商的角度来看,什么是CVE信息安全社区的价值?

曼:在BindView,我们真的试图专注于事情会为我们的客户提供直接的商业价值。在信息安全方面的解决方案,最常提到的业务需求,我们的客户减少运营成本,管理他们的IT环境在一个可接受的风险水平,并满足他们的监管义务。CVE显然交付第一个目标通过允许用户更快脆弱性相关信息。通过启用自动数据相关性和清晰度新兴威胁信息,CVE还使组织更好地管理风险。前进,我相信它将是重要的澄清与监管有关的例子,CVE如何帮助FISMA DISTCAP, HIPAA-which应该更容易随着CVE配置错误。

最大的区别是什么从你第一次想象CVE今天?

曼:到目前为止这是很难定义一个漏洞到底是什么。虽然CVE为最终用户标识符有直接价值,我认为最大的成就之一的史蒂夫·Christey的“内容决定”,而试图定义如何计算的问题。也许一个很好的类比是杜威十进制系统发展的组织和编目的书。事实上,我认为脆弱性编目问题比处理书籍更加困难。

你有什么想法CVE在社区内的成功,例如CVE-compatible产品的数量,数量的组织在他们的报告包括CVE名称,等等?

曼:这是可喜的,羞辱和有时令人沮丧。一次导师建议我找问题,而不是解决方案。CVE绝对是天生的操作疼痛,史蒂夫和我和其他人试图解决横切的安全委员会。所以,当我看到CVE编号在警告或看到越来越多的产品兼容,我确认与被他人分享我们摔跤的问题在安全社区。我们只是幸运状态问题正确的论坛和上下文。分配惟一标识符的想法很快就有了它自己的生命。

令人沮丧的一面是CVE的持续增长也表明脆弱性管理问题是仍然和我们在一起,可以说,继续变得更加复杂和难于管理。

给你最大的惊喜从CVE ?

曼:我惊讶我每次看到打印CVE标识符。我仍然记得走廊和吉姆·威廉姆斯在我部门的高级人(已退休)(斜方)。我描述我们遇到的一些问题在我们的脆弱性管理工作。更准确地说,我总是在大喊大叫“应该如何”一个更加完美的世界。吉姆告诉我一个即将到来的会议,并鼓励我们写了一篇论文并提交它。我的意思是,他真的,真的鼓励我们。

现在当我看到CVE标识符,我总是认为吉姆和提醒导师的影响。实在是一个很大的飞跃从走廊咆哮会议常用的标准。吉姆很容易可以礼貌地点头,换了话题。相反,他投入的时间、精力和鼓励,这很令人惊讶的结果。

CVE的未来你有什么想法吗?

曼:漏洞管理学科已经发展在过去的四年,所以我认为CVE需要进化。最明显的是,传统的基于网络的漏洞评估在很大程度上,取而代之的是混合动力解决方案要求凭证在系统被测试。此举是密切相关的,后者更注重配置设置(称为“曝光”CVE-speak),这需要credentialed-based解决方案。同时,整个补丁管理市场已经出现,再次使用受到信任机制更狭隘。脆弱性管理已经发展到包括所有这三个:漏洞(软件缺陷),补丁,和配置管理。CVE继续其相关性在这个大脆弱性管理背景下,它必须包括所有三个生长。这是一个具有挑战性的问题。从商业的角度,我应该补充的是,法规遵从性将继续更多的脆弱性管理力度重新配置和补丁的问题。

潜在增长的另一个领域是目录的问题。越来越多的概念性对象锁定安全管理者需要的服务不是定义的操作系统。相反,它们定义的目录,或者更糟的是,一些操作系统和目录之间的重叠。例如,“有效的权利”的概念试图定义权利基于用户对操作系统的设置和设置的域。这将迫使CVE考虑的问题从操作系统级别的漏洞和风险,包括目录级别的漏洞。法规遵从性是一个司机在这方面,它要求组织占他们的用户可以和不能做什么。

CVE名称包含在共识的“二十”互联网安全威胁

最近更新的二十个最关键的网络安全漏洞san /联邦调查局共识列表的最关键的问题在网络安全领域,于2004年10月8日被释放。其中包括CVE名称条目和候选人地位来唯一地标识漏洞它描述了。这将帮助系统管理员使用CVE-compatible产品和服务帮助使他们的网络更加安全。

此外,引入页面包括一个注意,描述了CVE是什么,提供了CVE网站的链接,和州:“CVE和数字反映了重中之重的漏洞应该检查每一项共识名单。”

无的一员吗CVE编辑委员会,列出了其教育和培训材料CVE-Compatible产品和服务页面。

NetMon2, LLC CVE兼容性声明

NetMon2,有限责任公司宣布,其安全信息管理/安全事件监控(SIM / SEM)产品,NetMonSecure CVE-compatible。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

高级顾问委员会举行会议

的CVE高级顾问委员会周三召开了一次会议,2004年10月6日。讨论集中在两个主要操作的部分安全管理;实现和维护安全的系统和应对袭击我们的系统和CVE和椭圆形计划如何使这些过程的变化。DISA /战略司令部的IA脆弱性预警管理(IAVM)策略和合同进行了讨论以及新合并空军微软合同。需求CVE和椭圆形呈现在每一个合同的活动。NSA XCCDF的当前状态(可扩展配置清单描述格式)的努力和使用椭圆形XCCDF外部检查方法讨论了椭圆的集成以及XCCDF CISecurity工具。最后,新的国土安全部/ NCSD常见的恶意软件枚举(CME)。

会议上还包括状态更新CVE倡议,包括最近发布一个新版本的CVE和即将到来的兼容的产品证书奖项;在椭圆形工作状态更新,包括工作小组的讨论,讨论修改系统特征模式和椭圆形的结果模式。

主教法冠建立了顾问委员会,帮助指导CVE和椭圆和确保计划得到适当的资金,并帮助我们理解潜在的关系与其他正在进行的活动,分享信息,并在安全社区促进协同作用。顾问委员会由高管的办公室在美国联邦政府负责政府网络和信息保障系统。你还可以查看的咨询委员会成员或者阅读的副本委员会章程。

斜接在CSI的主机CVE /椭圆形展台31日年度计算机安全会议和展览

斜接预定举办的CVE /椭圆形参展商展位在计算机安全协会(CSI)31日年度计算机安全会议和展览2004年11月8 - 10日,在万豪Wardman公园酒店,在华盛顿特区,美国。会议将揭露CVE和椭圆形从行业信息安全与网络专业人士,学术界和政府。此外,组织CVE-Compatible产品和服务也将表现出。

参观CVE日历页面信息和其他即将来临的事件。联系cve@mitre.orgCVE呈现一个简报或参与小组讨论CVE,椭圆形,和/或其他脆弱性管理主题在你的事件。

斜接主机CVE /椭圆形展台无网络安全2004

斜方举办了CVE /椭圆形参展商展位无网络安全2004,2004年9月30 - 10月1日,在里维埃拉酒店在拉斯维加斯,内华达州,美国。会议是成功的,并且暴露了CVE和椭圆形形形色色的网络专业观众和信息安全专家从工业、学术界和政府。

参观CVE日历页面信息和其他即将来临的事件。

行业名人讨论CVE的5年

CVE从一开始的一个重要方面是网络安全社区的参与和支持。以下是一些业界名人的评论关于CVE社区的价值和发挥的一部分业内人士最近五年。

“CVE已经达到和超过我们的预期。我认为这表明了最大价值有利于促进全社区的共识,并无排名前20位的网络安全威胁。”

——研究主管艾伦•佩拉SANS研究所

“CVE标准,继续,至关重要的每一个组织的关键数字资产的有效保护。的创始成员CVE编辑委员会,1999年第一批组织宣言CVE兼容性,ISS祝贺CVE五年周年和愿望主动持续的成功。”

——彼得•合金X-Force情报主管,网络安全系统公司

“CVE命名标准是一种重要的信息安全倡议提供一个共同的参考整个漏洞生命周期包括发现、识别、和修复漏洞。漏洞管理解决方案的领先供应商,Qualys强烈支持CVE自成立以来,赞扬这个关键的斜方领导努力和其价值安全行业以及我们的客户。”

——Gerhard Eschelbeck首席技术官&工程副总裁Qualys公司。

“CVE可以造福社会,因为它提供了准确的信息,他们基地安全决策。这就是为什么红色帽子是使用CVE标准在我们的官方安全路线图的Red Hat Enterprise Linux,为什么我们有这么全面支持主动加入了CVE编辑部和通过兼容性声明为Apache漏洞数据库和Red Hat安全警告。最近我们的安全警告也公认的第一个正式CVE-compatible产品认证。在Red Hat我们的基本目标是促进行业安全标准和简化为客户安全,这就是为什么我们将继续促进CVE集团价值的努力,祝贺他们当前的里程碑。”

——马克·考克斯工程、高级总监红帽公司。

“CVE增强安全行业为客户提高安全产品的互操作性与常见的名字。站得住脚的识别的重要性和价值标准,终端用户,这就是为什么三个我们的产品连同Nessus扫描仪CVE兼容性声明。我们相信CVE的持续成功才会有利于我们的客户。”

总裁兼首席技术官——罗恩咽喉,站得住脚的网络安全公司。

1999年10月在一篇发表在网络世界杂志推出的CVE,史蒂夫Northcutt SANS说:“…当CVE到达1000个条目,这将是一个强大的工具。”一个t the five-year mark there are now 7,268 names posted on the CVE site.

“CVE标准识别漏洞和风险敞口。拥有超过7200个名字,什么是接近。最主要的工具支持CVE漏洞空间。CVE列表是一个值得信赖的全球网络管理员和安全专家的工具。”

——史蒂夫•Northcutt主任培训和认证,SANS研究所

Grupo S21sec治理S.A.使CVE兼容性声明

Grupo S21sec治理S.A.宣布,其脆弱性通知服务和数据库,Vulnera CVE-compatible。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

斜接主机CVE /椭圆形展台FIAC 2004

斜接预定举办的CVE /椭圆形参展商展位联邦信息安全保障会议(FIAC) 20042004年,10月26日- 27日,在酒店和会议中心,马里兰大学大学,在斯特兰德,美国马里兰州。会议将揭露CVE和椭圆形网络和系统管理员,安全从业者,采办官员、系统安全官员、联邦管理者,授信人和认证机构从众多的美国联邦政府的机构。此外,组织CVE-Compatible产品和服务也将表现出。

参观CVE日历页面信息和其他即将来临的事件。联系cve@mitre.orgCVE呈现一个简报或参与小组讨论CVE,椭圆形,和/或其他脆弱性管理主题在你的事件。

问答与CVE联合创始人史蒂夫Christey 5周年

五年前的横切信息安全高级工程师史蒂夫Christey认识到需要为常见,标准化的CVE漏洞名称和继续创建。他现在作为CVE的技术领导和编辑CVE列表。

最大的区别是什么从你第一次想象CVE今天?

Christey:想到的第一件事就是努力的规模和范围。在一开始,(CVE)联合创始人大卫·曼,我想更容易链接一些工具和报告一起帮助内部斜方安全操作。我们考虑一个几百漏洞从几个数据源。现在,有几百新问题每月公布,加上我们看到漏洞数据库的发展,信息服务,和相关工具,大约5年前,。和信息交换的速度更快,。事后看来,我们实际上是省级的原来的观点,但话又说回来,我们无法预测未来。我们没有预料到CVE将成为全球资源,应用于更广泛的各种各样的工具和信息来源。它经常使我们保持警觉。

什么你最骄傲的成就在这个项目?

Christey:这个答案似乎是老生常谈,但这是事实。可喜的是知道CVE帮助让许多人的工作变得更简单,直接或间接地有助于提高信息安全的状态。这已经被证明在许多方面。最近的一个例子,是CVE兼容的产品,我们的颁奖典礼举行的RSA会议2004年2月。所有的供应商声明CVE如何帮助他们和他们的客户。与他们面对面,听他们说CVE更加“真实”,我有时会忘记当我敲击键盘上的在我的办公室。任何时候人们告诉我们如何奖励CVE已经帮助他们。

也很高兴看到大规模的比较和趋势分析。这些是资源密集型的CVE之前进行。这个好处是我们最初的愿景的一部分,但这只是过去两年内成为现实。

就我个人而言,我也自豪能够与他人分享我的经验和知识。我骄傲的团队的努力进入CVE,横切,贡献个人的CVE编辑部,多年来我们的赞助商,以及所有其他社区成员已经支持它在无数方面,大的和小的。CVE是一个以社区为基础的项目,它显示了。

给你最大的惊喜在CVE工作吗?

Christey:有一些意外,比如当我们开始收到询问CVE兼容性营销主管的安全工具厂商。这告诉我们,不只是技术的人开始认真对待CVE。另一个意外发生在一些Linux供应商告诉我如何使用CVE已经帮助他们协调bug修复之前他们被公开!还有许多其他的惊喜,但是最大的一个可能是多少CVE不断多少被使用,即使在非英语国家。

然而,出人意料的是CVE标准。我们定期惊讶,这是一个很大的一部分是什么让事情有趣,即使5年。

最困难的挑战在这个项目上工作吗?

Christey:被所有人的一切。如前所述,CVE的范围远比我们最初的预期。有些子群体的需求可以满足通过扩展CVE在某些方面。我们对这些需求敏感,做我们可以解决这些问题。

技术上来说,我认为正确记录CVE的内容决定和应用是一个重大挑战。脆弱性信息高度不稳定,而信息的质量和数量差别很大,会随着时间而改变。这使得很难保持一致在CVE(和任何漏洞库面临这些挑战,)。CVE的内容决定帮助减轻这些问题,但他们更比一组预定义的“心境”规则。明确指定内容的决定是我个人的信天翁。

CVE的未来是什么?

Christey:在第二年,努力将包括一个与最广泛的社会影响,开发一次性的变化CVE编号方案,将在2005年开始。有几个原因,但最大的原因是“CAN-yyyy-nnnn”标识符最终被改为“CVE-yyyy-nnnn”标识符,这使得很多维护头痛和混乱。我们很清楚,我们不能轻易作出这种改变,我们只能做一次,所以我们要做的正确,减少一次性改变所需的工作量。我们还在研究细节,但我们希望很快宣布细节,我们一定会给供应商和消费者足够的警告之前所发生的变化。

我前面提到的某些子可以更好CVE。在未来,我们希望延长CVE(至少)的概念来处理系统配置问题和入侵检测“事件”。的se are obviously security-relevant, but they don't necessarily fit the concept of "vulnerability" and they don't necessarily translate well into a flat namespace like we've been able to use for vulnerabilities. MITRE's OVAL project is already working in the area of system configuration, but we'd like to have CVE names assigned for the most common issues.

我们也在不断努力改善CVE的及时性和全面性。技术CVE用户毫无疑问已经注意到我们改进在过去6个月,但我们会更好。当然,名单上的许多漏洞每周持续增长,并增加他们在保持包括在CVE叫什么名字的真实性很重要的工作。很快我们将在8000年,它会保持增长。

CVE还有什么在未来?我们得等等看。如果有一件事我明白了在这个项目,期待意想不到的。

CVE PatchAdvisor的主要主题,公司新闻发布万博下载包

CVE新闻稿的主要话题万博下载包PatchAdvisor公司。名为“PatchAdvisor公司宣布MITRE-CVE兼容性。”发布声明:“[PatchAdvisor]现在已经宣布其产品兼容主教法冠公司的常见的漏洞和风险敞口(CVE)字典。CVE名称使用的信息安全产品/服务供应商和研究人员的标准方法识别漏洞和交联与其他存储库。每个CVE名称包括以下:CVE标识符(即数量。、“cve - 1999 - 0067”);表明“条目”或“候选”状态;安全漏洞的简要描述;和相关的参考资料(即。,vulnerability reports and advisories or OVAL-ID). "We are very enthusiastic about our inclusion in the CVE compatibility program" says Jeff Fay, PatchAdvisor's CEO. "The ability to standardize the intelligence that we map to our customers’ assets is a crucial element in defining PatchAdvisor's role in the vulnerability and patch management market space."

释放也说:“访问CVE-Compatible产品和服务页面,https://cve.mitre.org/,找出[196]使用CVE名称的产品,在警告或看到CVE的组织名称的列表[57]组织装备,包括警告或包括CVE名称。”

PatchAdvisor上市CVE-Compatible产品和服务页面。

CVE庆祝5年!

CVE始于五年前的这个月,321个条目和19个信息安全社区组织参与编辑委员会。此后,CVE真正成为行业标准。的CVE列表已发展到7191总名称和CVE编辑委员会35组织和49个成员。此外,120多个组织的声明CVE兼容性近200的产品和服务,和57组织包括CVE名称安全警告。

CVE的名字也上使用联邦调查局/ SANS二十最关键的网络安全漏洞列表列表,类似开放Web应用程序安全性项目列表的威胁;网络安全系统有限公司;Qualys Inc .);和Sintelli有限。2002年,美国国家标准与技术研究院(NIST)两个文档推荐使用CVE发布美国机构:“NIST特殊出版(SP) 800 - 51岁,使用常见的漏洞和曝光(CVE)脆弱性命名方案”和“NIST的特殊出版800 - 40,处理安全补丁程序”CVE的提到。2004年6月,美国国防信息系统局(DISA)发布了一个任务订单信息保障应用程序需要使用的产品使用CVE名称。

增长的CVE列表
最初作为一个成熟的信息来源,立即成功CVE的名字在社区要求主动迅速扩展到地址现在几乎每天都会出现新的安全问题。CVE因此推出“候选人”,这是CVE名称与候选人地位。在五个几年CVE列表有显著增长,每月新增大约100新的候选人。现在有7191年总CVE的名字仍然在不断增加,其中3052官方入口地位和4139候选人地位。

CVE-Compatible产品的增长
信息安全社区支持的重要性”CVE-Compatible产品和服务“从CVE始于1999年。尽快有2000年12月29日组织参与声明为43个产品的兼容性。今天,有122年组织和196年产品和服务在CVE上市地点。的一个重要里程碑兼容性的规范化CVE兼容性过程2003年,最终导致的“证书CVE兼容性”2004年2月10日组织取得官方兼容性状态14的产品或服务。十多个新产品将在今年秋季注册。从CVE名字也包含在安全报告57组织包括主要的操作系统供应商等,确保国际社会福利通过CVE名字只要问题是宣布。的产品列表和警告继续增长,新的更新定期公布CVE新和事件页面。

CVE也被用作全新服务的基础。NIST的ICAT Metabase,这是一个可搜索的索引的漏洞补丁链接信息,是基于CVE的名字。CVE改变日志是一个工具创建的吗普渡大学出现/显示器CVE列表中添加和修改,允许您获取每日或每月报告。斜接的开放的漏洞评估语言(椭圆形)是安全专家的共同语言,讨论如何识别的技术细节上的漏洞的计算机系统使用XML定义,都是基于CVE的名字。

我们的周年庆典
这是你的参与和支持,CVE变成脆弱的社区标准名称。我们都感谢你以任何方式使用CVE的名字在你的产品或研究,促进了CVE的使用和/或采用CVE-compatible产品或服务为您的企业。我们还要感谢我们的赞助商在这五年来,特别是我们现在的赞助商在美国国土安全部us - cert,因为他们过去和当前的资助和支持。

请加入我们作为我们的5周年庆典持续整个月CVE特别新闻网站和CVE展位9月29日- 10月30日达到高潮万博下载包无网络安全2004,紧随其后的是在其他行业活动摊位整个秋天。我们欢迎任何意见或反馈CVEcve@mitre.org。

斜接主机CVE /椭圆形展台无网络安全2004

斜接预定举办的CVE /椭圆形参展商展位无网络安全2004,2004年9月30 - 10月1日,在里维埃拉酒店在拉斯维加斯,内华达州,美国。会议将揭露CVE和椭圆形形形色色的网络专业观众从行业和信息安全专家,学术界和政府。此外,组织CVE-Compatible产品和服务也将表现出。

参观CVE日历页面信息和其他即将来临的事件。联系cve@mitre.orgCVE呈现一个简报或参与小组讨论CVE,椭圆形,和/或其他脆弱性管理主题在你的事件。

CVE在西班牙语文章的主要话题安全信息和通信杂志

CVE是会话的主要话题,一篇文章题为“CVE及其影响的管理漏洞”在2004年9月出版的安全信息和通信(原文如此)杂志。写的CVE兼容性导致罗伯特·马丁,本文描述了CVE是什么和不是解释了脆弱性管理可以加强使用CVE命名方案和采用CVE-compatible产品和服务。

现在新的CVE版本发布,以XML格式

CVE版20040901刚刚被释放。CVE名称列出条目或候选人地位。添加了480个新条目,总共3052名正式进入状态。此外,4139名候选人状态是等待批准CVE编辑委员会。这意味着现在7191独特的信息安全问题与公开已知的CVE Web站点上可用的名字。一个报告可用来确定这个版本和之前的版本之间的差异,20030402。

CVE的名字是独一无二的,常见的标识符公开已知的信息安全漏洞。每个CVE名称包括以下:CVE标识符(即数量。、“cve - 1999 - 0067”);表明“条目”或“候选”状态;安全漏洞的简要描述;和相关的参考资料(即。,vulnerability reports and advisories or OVAL-ID). CVE names are used by information security product/service vendors and researchers as a standard method for识别漏洞和交联与其他存储库使用CVE名称。

此外,CVE名字现在可用在可扩展标记语言(XML)的格式。你可以下载CVE条目,CVE候选人,或所有CVE名称(条目和候选人)XML。支持HTML、文本或逗号分隔格式也将继续。CVE公开和免费使用。使用得到CVE查看、搜索或CVE下载。

Computec.chMakes CVE Compatibility Declaration

Computec.ch已经宣布它的漏洞评估工具,攻击工具包(ATK公司),是CVE-compatible。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

八个组织引用CVE名称安全警告

以下八个组织最近引用CVE的名字条目或候选人(可以)状态的安全警告:香港CERT印度CERT法国CERT波兰CERT斯洛文尼亚CERT, OpenSSL、松树数字安全,和荷兰CERT。

香港证书(HKCERT)发布了一个安全顾问在8月18日,2004年- 2004 - 0629吗。其他建议还包括CVE的名字。

印度的证书(、)发布了一个安全顾问在8月11日,2004年- 2004 - 0203吗。其他建议还包括CVE的名字。

法国的证书(CERTA)发布了一个安全顾问在8月5日,2004年- 2004 - 0368吗。其他建议还包括CVE的名字。

波兰证书(CERT波兰)发布了一个安全顾问在8月5日,2004年- 2004 - 0415吗。其他建议还包括CVE的名字。

斯洛文尼亚证书(SI-CERT)发布了一个安全顾问在2004年8月- 2004 - 0549吗。其他建议还包括CVE的名字。

OpenSSL2004年3月17日发布了一个安全咨询确认- 2004 - 0079吗和- 2004 - 0112吗。其他建议还包括CVE的名字。

松数字安全发布了一个安全更新2月4日,2004年- 2004 - 0114吗。

荷兰证书(SURFnet-CERT)发布了一个安全顾问在2月2日,2004年- 2003 - 01025吗,- 2003 - 01026吗,- 2003 - 01027吗。其他建议还包括CVE的名字。

看到组织CVE漏洞报告名称等组织的完整列表或包括CVE名称条目或候选人地位在他们的安全警告。

CVE包含在文章对CIRT的早期预警网络世界安全通讯万博下载包

CVE的一篇文章中提到的题为“CIRT管理:快速警报“在7月15日,2004年网络世界融合网络世界安全通讯万博下载包。本文的主题就是作者所说的“早期预警”的三个重要方面计算机应急响应小组(CIRT)管理:“威胁和漏洞的通知,通知通知事件。”

CVE的“漏洞”部分包含在文章中,作者写道:“最后,普通读者会记得,常见的漏洞和风险敞口(CVE)词典(https://cve.mitre.org/)是一种极好的纲要标准名称的漏洞和风险敞口。横切写道,“CVE渴望所有公开已知事实的描述和名称对计算机系统可以让某人违反了一个合理的安全策略系统。https://cve.mitre.org/about/terminology.html。”

作者进一步指出:“主教法冠也使用术语“曝光”,并将它定义为“安全相关事实可能不被大家认为是弱点。”You can download the CVE in various formats or you can use the ICAT Metabase (http://icat.nist.gov/icat.cfm)搜索不同的子集的CVE漏洞(例如,通过产品、版本、类型等等)。在撰写本文时(6月下旬)有6663 CVE漏洞。边注,其中,1383年参与缓冲区溢出(五分之一)。”

国家标准与技术研究院的(NIST)ICAT数据库是上市CVE-Compatible产品和服务页面,NIST的一员CVE编辑委员会。

应用程序安全性,Inc . CVE兼容性声明

应用程序安全公司。已经宣布它的漏洞评估工具,AppDetective Oracle应用服务器,CVE-compatible。此外,其他八个应用程序安全性产品上市CVE-Compatible产品和服务页面。关于这些和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

PatchAdvisor公司使CVE兼容性声明

PatchAdvisor公司。已经宣布它的补丁管理工具,将CVE-compatible PatchAdvisor企业。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

两个组织参考CVE名字安全警告

两个组织最近引用CVE的名字条目或候选人(可以)状态的安全警告:NoMachine和FedoraNEWS.ORG。万博下载包

NoMachine2004年3月22日,发布了一个安全咨询确认- 2004 - 0112吗。其他NoMachine报告还包括CVE的名字。

Fedora万博下载包NEWS.ORG发布了一个安全更新3月3日,2004年- 2003 - 0989吗,- 2004 - 0057吗,- 2004 - 0055吗。其他FedoraNEWS万博下载包。组织更新还包括CVE的名字。

看到组织CVE漏洞报告名称等组织的完整列表或包括CVE名称条目或候选人地位在他们的安全警告。

CVE文章中提到的软件漏洞澳大利亚金融评论

CVE的一篇文章中提到的题为“把一个名字邪恶和特洛伊的后代“在7月27日,2004年澳大利亚金融评论。作者声明:“CVE服务的目的。使命宣言是目录信息技术安全风险,每一个分配一个惟一的标识符。几年前,同样的病毒或木马,往往是由6个不同的名字,这取决于你访问安全网站。CVE政权下,每一个独特的物种有一个注册的电话号码。使它更容易为网络管理员是否有10个威胁,或10变异的威胁,与10名或一个威胁。”

在这篇文章中,作者称CVE标准和描述了它是什么;提到的数量CVE的名字,包括那些条目和候选成员国资格;指出CVE资助的美国国土安全部;并提供了CVE网站的链接。

这篇文章是可用的购买在澳大利亚金融评论网站。

CVE条漏洞Techworld网站

CVE提到在2004年6月24日,文章题为“Mac OS X安全神话暴露,和成千上万的其他产品和操作系统安全纲要”Techworld英国基础设施和网络知识,“中心”。CVEis mentioned in a paragraph about three efforts to list known vulnerabilities: "[Secunia安全报告数据库)允许企业收集特定产品的确切信息,通过整理报告从大量的第三方安全公司。(其他组织包括)开源漏洞数据库(OSVDB)和常见的漏洞和风险(CVE)(列表),它提供了共同的名字公开已知的漏洞。”

开源漏洞数据库和数据库列出Secunia安全报告CVE-Compatible产品和服务页面。

CVE名称包含在文章中Mac新万博下载包闻网

CVE名字是包含在2004年6月7日文章题为“苹果修复URI利用与安全更新”Mac新万博下载包闻网。这篇文章引用- 2004 - 0538吗和- 2004 - 0539吗,包括页面的链接这两个CVE CVE网站上的名字。

7000 + CVE名字现在CVE网站上可用!

现在的CVE网站包含7040独特的信息安全问题与公开已知的名字。其中,2572人CVE条目状态和4468候选人状态等待批准CVE编辑委员会。CVE的名字使用的信息安全产品/服务供应商和研究人员作为标准方法识别漏洞和交联与其他存储库使用CVE名称。

CVE的名称是独一无二的,常见的标识符公开已知的信息安全漏洞。每个CVE名称包括以下:CVE标识符(即数量。、“cve - 1999 - 0067”);表明“条目”或“候选”状态;安全漏洞的简要描述;和相关的参考资料(即。,vulnerability reports and advisories or OVAL-ID).

参观CVE-Compatible产品和服务页面了解使用CVE名称的193种产品,或看到组织报告的CVE的名字47岁的列表组织装备包括或包括CVE的名字在他们的报告。

明确北技术使CVE兼容性声明

明确北技术宣布,其脆弱性评估服务,渗透研究,是CVE-compatible。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

CVE文章的主要话题安全层杂志

CVE是会话的主要话题,一篇文章题为“CVE-Based安全管理模型“2004年夏天安全层杂志。CVE兼容性导致罗伯特·马丁,写的这篇文章描述了CVE是什么和不是并解释如何使用CVE漏洞管理可以增强命名方案。本文还描述了CVE兼容性使企业安全通过使用共享的CVE的名字,以及如何使用CVE-compatible产品和服务改善一个组织如何回应安全警告。的图形表示CVE-enabled过程也包括在内。

CVE &椭圆形作为美国国防信息系统局要求信息保障应用程序任务订单

开放的漏洞评估语言(CVE和斜接椭圆形)项目包括需求在最近的一次美国国防信息系统局(DISA)任务订单DigitalNet,公司保证应用程序的信息。椭圆是安全专家的共同语言,讨论如何识别的技术细节的存在漏洞的计算机系统使用社区Forum-developed XML定义,每一种都是基于一个CVE的名字。

一个文章关于任务订单是6月23日出版,2004年政府计算机新闻万博下载包说:“任务订单,团队将为美国战略司令部提供一组应用程序,将潜在的漏洞扫描系统。[和]。标志不正确的系统配置”。一个ccording to the task order itself, the "specific CVE and OVAL requirements" are: (1) "Provide a tool for "The ENTERPRISE" to notify their organization of specific vulnerabilities using Common Vulnerability Exposure (CVE) [names] and Open Vulnerability Assessment Language (OVAL) [definitions]," and (2) "Accept configuration and vulnerability-related checking requirements provided by DoD expressed on OVAL eXtensible Markup Language (XML) when available."

此外,椭圆形中引用6.2.3子任务3 - IA脆弱性计划和ODBC兼容状态:“承包商应将国防部提供的配置和vulnerability-related检查需求用椭圆表示XML。兼容椭圆形意味着每个工具应符合“椭圆形接口。”That interface is described on the OVAL Web site at this URL: http//:oval.mitre.org/oval/schema/#XML_format." The subtask further states: "There are XML descriptions (schema) for the OVAL language itself and three platforms currently: Microsoft Windows, Solaris, and Red Hat Linux. These descriptions comprise the OVAL interface. In addition, there are over 500 OVAL definitions for testing vulnerabilities, and a handful of definitions for testing configuration items. It's the interface that's critical for the acquisition."

的政府计算机新闻万博下载包文章还指出达安全的视网膜网络安全扫描器,扫描网络漏洞,及其快速眼动安全管理控制台,优先漏洞的门户,“包”的一部分交付任务订单。达的视网膜网络安全扫描器是上市CVE-Compatible产品和服务页面。你也可以阅读DigitalNet公司。万博下载包新闻发布会上达安全万博下载包新闻发布会上或消失任务订单文档。

会议的照片CVE展台第六届国际Techno-Security大会

斜方举办了CVE /椭圆形参展商展位的第六届国际Techno-Security大会6月6日、9日在南卡罗来纳,美国。请参阅下面的照片。

会议CVE展位的照片2004年信息保障车间

斜方举办了CVE /椭圆形参展商展位的2004信息保障(IA)车间2月2日nd-4th在乔治亚州,美国。请参阅下面的照片。

圣公司使CVE兼容性声明

圣公司宣布,其基于网络的漏洞扫描服务WebSAINT,及其网络漏洞扫描设备,SAINTbox CVE-compatible。关于这些和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

关键看使CVE兼容性声明

关键看宣布,其脆弱性评估和修复服务,PilotVMS CVE-compatible。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

AutoProf使CVE兼容性声明

AutoProf宣布它的补丁管理解决方案,软件更新,政策制定者将CVE-compatible。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

斜接主机CVE /椭圆形展台NetSec 2004

斜方举办了CVE /椭圆形参展商展位NetSec 2004会议和展览6月15日- 16日在旧金山,加州,美国。会议暴露CVE和椭圆形形形色色的信息安全专业观众包括信息安全经理和董事;安全专家;系统分析师;网络工程师;首席信息官和公民社会组织;网络和系统管理人员和管理人员;Web大师;和技术工程师。

参观CVE日历页面信息和其他即将来临的事件。联系cve@mitre.orgCVE呈现一个简报或参与小组讨论CVE,椭圆形,和/或其他脆弱性管理主题在你的事件。

趋势科技公司使CVE兼容性声明

趋势科技有限公司宣布,其脆弱性评估和修复产品,CVE-compatible Trend Micro漏洞评估。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

安全层,Inc . CVE兼容性声明

安全层,Inc。宣布,其国家安全机构的信息安全评价方法(IEM)认证课程是CVE-compatible。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

CVE e-Matters引用名称安全警告

e-Matters发布了一个安全咨询2004年6月6日确认- 2004 - 0414吗,- 2004 - 0416吗,- 2004 - 0417吗,- 2004 - 0418吗。咨询包括一节题为“CVE信息”提供简要的描述的四个CVE名称和CVE网站的链接。还包括在部分以下免责声明:“请注意,只能- 2004 - 0416是由e-Matters发现的。”Other e-Matters advisories also include CVE names with条目或候选人(可以)状态的安全警告。

看到组织CVE漏洞报告名称等组织的完整列表或包括CVE的名字在他们的安全警告。

“CVE和us - cert”页面添加到CVE网站

一个CVE和us - cert添加到页面咨询委员会部分的CVE网站提供的信息之间的关系CVE us - cert以及一般us - cert的信息。CVE是由us - cert在美国国土安全部。

CVE礼物简报,SecurE-Biz CxO安全峰会

罗伯特·马丁,CVE兼容性铅和椭圆团队成员,提交了一份简报CVE和椭圆形讨论会议题为“安全信息组织标准积木”6月11日的SecurE-Biz CxO安全峰会在华盛顿特区,美国。会议的主题,6月9日- 11日,是:“路线图启用安全信息基础设施和网络防御”。

参观CVE日历页面信息和其他即将来临的事件。联系cve@mitre.orgCVE呈现一个简报或参与小组讨论CVE,椭圆形,和/或其他脆弱性管理主题在你的事件。

斜接主机CVE /椭圆形展台第六届国际Techno-Security大会

斜方托管的CVE /椭圆形参展商展位第六届国际Techno-Security大会6月6日- 9日在桃金娘海滩,南卡罗来纳,美国。会议暴露CVE和椭圆形多元化的观众从执法和行业信息安全专业人士。此外,CVE兼容性铅和椭圆形团队成员罗伯特·马丁提出简报题为“管理漏洞通过标准”6月6日。

参观CVE日历页面信息和其他即将来临的事件。

站得住脚的网络安全公司使CVE兼容性声明

站得住脚的网络安全公司。宣布,其被动漏洞扫描器,一举一动;商业漏洞扫描器窗口,纽特;和企业安全管理体系,闪电控制台;CVE-compatible。关于这些和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

StillSecure使CVE兼容性声明

StillSecure宣布,其脆弱性评估和修复(VAR)系统,StillSecure VAM, CVE-compatible。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

PatchLink公司使CVE兼容性声明

PatchLink公司宣布,其企业范围的补丁管理和漏洞修复服务,将CVE-compatible PatchLink更新。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

三个组织引用CVE名称安全警告

三个组织最近CVE名称和引用条目或候选人(可以)状态的安全警告:AusCERT, ThaiCERT太阳微系统公司。

太阳微系统公司发布了一个安全咨询5月3日2004年- 2003 - 0834吗。许多其他太阳报告还包括CVE的名字。

AusCERT2004年5月20日发布了一个安全咨询确认- 2004 - 0396吗。许多其他AusCERT报告还包括CVE的名字。

ThaiCERT2004年3月发布了一个安全咨询确认- 2003 - 01025吗,- 2003 - 01026吗,- 2003 - 01027吗。其他ThaiCERT报告还包括CVE的名字。

看到组织CVE漏洞报告名称等组织的完整列表或包括CVE名称条目或候选人地位在他们的安全警告。

CVE条椭圆形的安全连接的角度

CVE被提及在5月17日,2004篇文章安全连接的角度斜接的开放的漏洞评估语言(椭圆形)项目名为“安全补丁让你原地踏步?“写的CVE兼容性铅和椭圆形团队成员罗伯特·马丁,本文描述了椭圆是什么以及如何管理补丁系统管理员应该很容易,如果他们包括椭圆定义供应商的安全报告。椭圆是安全专家的共同语言,讨论如何识别的技术细节的存在漏洞的计算机系统使用社区Forum-developed XML定义,每一种都是基于一个CVE的名字。

CVE提到作为一个推荐椭圆的两个主要原因:“主教法冠。开发了这一行动遵循常见的漏洞和风险(https://cve.mitre.org)模型。CVE分配标准名称漏洞,椭圆形的下一步。它是用来收集和文档的最新漏洞测试思想,并使他们公开,这样你的工具供应商和服务提供商可以纳入你使用的信息安全产品和服务。”

本文还解决了问题,为什么组织应采用椭圆形:“它将保存您的系统和安全管理员的时间,这意味着降低开销。他们还可以确保您的系统更快,因为他们可以应用解决方案,不需要等待部署一个补丁。扫描工具将立即报告成功的缓解,显示任何系统解决方案的成功和安全管理员实现了他们是否应用补丁。”

本文还提供了CVE和椭圆形的网站链接。

CVE兼容性包括作为“安全路线图”的一部分由Red Hat新闻稿,公司。

CVE兼容性是包含在一个2004年4月29日的新闻稿红帽公司。Red Hat的三个方面的“安全路线图。”Entitled "安全需要在Red Hat Enterprise Linux”新闻发布会上指出,“自2002年其可用性,Red Hat Enterprise Linux在安全标准方面取得了重要的里程碑,”,包括CVE项目3号:“2004年2月Red Hat接收斜方认证常见的安全漏洞和风险敞口(CVE)兼容性报告。”

释放也描述了Red Hat安全报告收到了证书的官方CVE兼容性:“第二个安全成就为Red Hat是横切的认证常见的安全漏洞和风险敞口(CVE)兼容性报告。CVE旨在规范名称对于所有公开已知的漏洞和安全风险来简化安全实践。Red Hat Linux供应商(这个时候)是唯一的获得这个认证的安全标准。”

CVE兼容性主要话题的新闻发布软件公共利益,公司。

CVE兼容性是会话的主要话题,今年3月30日2004年新闻发布题为“Debian CVE-Compatible安全警告”公共利益软件公司。(SPI)。在释放SPI宣布“Debian安全警告(DSA)[是]宣布CVE-compatible在RSA会议上2004年,在旧金山,2004年2月24日,“在一个颁奖典礼举行的会议。释放也描述了如何“Debian项目增加了CVE名称1998年9月以来发布的所有报告通过评审过程始于2002年8月。所有的报告都可以从Debian检索网站,和通知有关新漏洞包括CVE名字如果可用的时候释放他们。报告与给定CVE相关名称可以直接通过搜索Debian网站搜索引擎。此外,Debian提供了一个完整的交叉引用表自1997年以来发布的报告,包括所有可用的引用。这张桌子是补充提供参考图可以在CVE。”

发布总结如下:“Debian开发者理解需要提供准确、及时的信息安全状态的Debian发行版,允许用户来管理风险新的安全漏洞。CVE名称可以使项目提供标准化的引用公开所有已知的漏洞和安全风险,允许用户开发一个CVE-enabled安全管理过程。”

基于CVE作为一章书商用现货软件系统

CVE和椭圆形包含的章呢基于ctos软件系统——第三国际会议,ICCBSS 2004程序发表在2004年4月斯普林格出版社作为计算机科学的斯普林格出版社课堂讲稿。一章题为“管理漏洞的商用现货(COTS)系统使用和行业标准的努力(CVE)“是由CVE兼容性导致罗伯特·马丁。

CVE主题问题的问答篇关于红帽安全响应开放杂志

CVE作为一个问题的话题在问答篇题为“安全响应在Red Hat”在2004年首映Red Hat的问题敞开杂志。这篇文章采访马克·考克斯Red Hat安全响应团队领导,Red Hat如何处理安全漏洞。

CVE的主题是以下的问题:“在Red Hat安全警告你指CVE的名字。他们为什么有用?”In his answer Cox describes what CVE is and isn't, notes that Red Hat is a member of the CVE Editorial Board, and mentions that the包含CVE的名字了Red Hat安全警告”更加一致。”Cox further states: ". . . all vulnerabilities that have affected Red Hat products from 2000 to date have been givenCVE的名字和所有(Red Hat)网站上的搜索和报告。”的文章also includes a screen capture of the CVE Web site showing the CVE name page forcve - 2001 - 0731。

红帽公司的一员CVE编辑委员会;是上市CVE-Compatible产品/服务页面,其中包括一个产品被公认为正式CVE-compatible兼容性并颁发证书;列出在和Red Hat安全报告组织报告的CVE的名字页面。

斜接主机CVE /椭圆形展台第六届国际Techno-Security大会

斜接预定举办的CVE /椭圆形的参展商展位第六届国际Techno-Security大会6月6日- 9日在桃金娘的大沙丘海滩万豪度假胜地,南卡罗来纳,美国。会议将揭露CVE和椭圆形形形色色的信息安全专业观众从执法和行业。此外,CVE兼容性铅和椭圆形团队成员罗伯特·马丁将简报题为“管理漏洞通过标准”6月6日。

参观CVE日历页面信息和其他即将来临的事件。联系cve@mitre.orgCVE呈现一个简报或参与小组讨论CVE,椭圆形,和/或其他脆弱性管理主题在你的事件。

斜接主机CVE /椭圆形展台NetSec 2004会议和展览

斜接预定举办的CVE /椭圆形参展商展位NetSec 2004会议和展览6月15日- 16日在凯悦酒店内河码头在旧金山,加州,美国。会议将揭露CVE和椭圆形形形色色的信息安全专业观众包括信息安全经理和董事;安全专家;系统分析师;网络工程师;首席信息官和公民社会组织;网络和系统管理人员和管理人员;Web大师;和技术工程师。会议涵盖了“一个广泛的话题,包括意识、隐私、政策,无线安全、vpn、远程访问、网络安全以及更多。”

参观CVE日历页面信息和其他即将来临的事件。

CVE呈现简报SecurE-Biz CxO安全峰会

罗伯特·马丁,CVE兼容性铅和椭圆团队成员,将呈现一个简报CVE和椭圆形讨论会议题为“安全信息组织标准积木”6月11日的SecurE-Biz CxO安全峰会万豪地铁中心在华盛顿特区,美国。的主题会议,定于6月9日- 11日,是:“路线图启用安全信息基础设施和网络防御”。

参观CVE日历页面信息和其他即将来临的事件。联系cve@mitre.orgCVE呈现一个简报或参与小组讨论CVE,椭圆形,和/或其他脆弱性管理主题在你的事件。

CVE和椭圆作为一章书软件质量管理

CVE和椭圆形包含的章呢第十二程序的软件质量管理,软件质量的新方法发表在2004年4月英国计算机协会。一章题为“CVE和椭圆——国际安全标准差异”是包含在“节2 -标准,”,是由CVE兼容性铅和椭圆形团队成员罗伯特·马丁。

CVE作为一章第五版信息安全管理手册

CVE作为篇章信息安全管理手册,第五版发表在2003年12月奥尔巴赫的出版物。70章,标题为“CVE倡议的进展报告”,是由史蒂文•m . Christey共同创造者CVE列表和编辑;罗伯特·马丁,CVE兼容性铅;和大卫·w·贝克CVE团队成员。一个更早的版本本章提供的信息包含在CVE文档页面。

椭圆参考XML解释器的发现漏洞的CVE字典

斜接的开放的漏洞评估语言(椭圆形)项目已经发布了两个免费引用XML定义翻译,可以确定一个系统有漏洞的CVE字典。斜方开发的参考翻译来演示的可用性椭圆形的脆弱性的定义写的,这是标准的测试信息安全社区提供一个标准化的基线检查确定在端系统存在的漏洞。椭圆的定义是基于CVE的名字;有一个或多个定义为每个名称。

参考翻译Microsoft Windows支持Windows NT 4.0, 2000, XP,和Server 2003,而另一个支持Red Hat Linux 9和Red Hat Enterprise Linux 3。翻译不全功能扫描工具和简单的用户界面,但运行一个将提供一个列表CVE的名字由椭圆系统上出现。这个列表的格式,可以很容易地纳入其他信息安全工具。

口译员和它们相关的数据文件都可以下载免费的椭圆形的网站。

CVE Forrester研究的基础

CVE Forrester Research的支撑研究Linux和Windows相比的速度有多快,他们固定的安全漏洞。这项研究中,2004年3月30日的主题文章的关系题为“Linux和Windows:哪个更安全?”,就不会没有CVE可行。这是第一次CVE被用来支持如此大规模,定量分析。作者使用了国家标准与技术研究院(NIST)ICAT数据库搜索引擎——NIST描述为“CVE漏洞”——执行比较和规范化的结果。这项研究是用于购买Forrester的网站。

NIST的一员CVE编辑委员会ICAT上市CVE-Compatible产品和服务页面。

CVE包括“最佳实践”在本关于电子商务系统安全

CVE被推荐为安全在2002年出版的《“最佳实践”确保电子商务系统:管理者和执行者的指南蒂莫西·布雷斯韦特。CVE第4章中讨论,“管理电子商务系统和安全”,作者提供了一个全面的描述的CVE是什么和不是,描述CVE兼容性,提到CVE编辑委员会。总结讨论,作者声明:“最佳实践# 12:作为一项政策,采用CVE命名策略和执行它的使用在电子商务安全项目管理的各个方面。”

CVE礼物简报,第16届会议系统和软件技术

罗伯特·马丁,CVE兼容性铅和椭圆团队成员,提交了一份简报,题为“漏洞管理与行业标准(CVE &椭圆形)”在4月20日第16届会议系统和软件技术盐宫会议中心,美国犹他州盐湖城。

4月19日- 20日举行的会议上,联合了美国陆军,美国海军陆战队,美国海军,海军部门,美国空军,国防信息系统局(DISA),犹他州州立大学扩展,旨在“提供信息和培训软件工程问题和技术”从军事范围广泛的软件专业人员服务,政府机构,国防承包商,工业和学术界。

参观CVE日历页面信息和其他即将来临的事件。联系cve@mitre.orgCVE呈现一个简报或参与小组讨论CVE,椭圆形,和/或其他脆弱性管理主题在你的事件。

椭圆形的电子通万博下载包讯包括CVE的名字在每个问题

的开放的漏洞评估语言(椭圆形)项目现在提供免费OVAL-Data-Updates的电万博下载包子通讯,包括CVE的名字在每一个问题。每周发送一次或更少,OVAL-Data-Updates关于椭圆形报告详细的技术信息,包括新的和修改的列表椭圆形的脆弱性的定义,都是基于CVE的名字。第二个的电子通讯一般新万博下载包闻的椭圆形也是可用的。你可能注册一种或两种邮件列表上椭圆形的网站。

CVE网站还提供免费电子通讯CVE新闻和技术更新。万博下载包指的是免费的通讯万博下载包页面注册或附加信息。

超出安全有限公司使CVE兼容性声明

除了安全有限公司宣布,其自动扫描仪CVE-compatible脆弱性评估。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

Acrobe咨询AB使CVE兼容性声明

Acrobe咨询AB宣布,其管理的安全服务,ASM威胁管理和ASM脆弱性评估,CVE-compatible。关于这些和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

开源漏洞数据库(OSVDB) CVE兼容性声明

开源漏洞数据库(OSVDB)已经宣布它将CVE-compatible开源漏洞数据库。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

CVE中提到的关系篇关于开源漏洞数据库的启动

CVE提到4月12日,2004篇文章的关系杂志题为“安全漏洞数据库上线”。本文论述了最近推出的免费开源漏洞数据库(OSVDB)是“作为一个中央收集点和资源信息在任何和所有安全漏洞。”

CVE提到在本文的最后,作者指出,“[OSVDB]希望开始比较其数据库和其他类似的商店,包括常见的漏洞和风险项目维护的僧帽Corp .),以便它可以引用(CVE名称)无论他们是适用的。CVE项目对每个新的弱点和赋予一个唯一的[名字]发布一行描述的问题。”

开源漏洞数据库最近还宣布将CVE-compatible其数据库。看到上面的文章或访问CVE-Compatible产品和服务页面的附加信息。

CVE呈现简报第16届会议系统和软件技术

罗伯特·马丁,CVE兼容性铅和椭圆团队成员,将呈现一个简报题为“漏洞管理与行业标准(CVE &椭圆形)”在4月20日第16届会议系统和软件技术盐宫会议中心,美国犹他州盐湖城。

举行的会议,4月19日- 20日,旨在“提供信息和培训和技术软件工程问题”从军事范围广泛的软件专业人员服务,政府机构,国防承包商,工业和学术界。是共同的事件美国陆军,美国海军陆战队,美国海军,海军部门,美国空军,国防信息系统局(DISA),犹他州州立大学扩展。

参观CVE日历页面信息和其他即将来临的事件。联系cve@mitre.orgCVE呈现一个简报或参与小组讨论CVE,椭圆形,和/或其他脆弱性管理主题在你的事件。

CVE高级顾问委员会举行会议

的CVE高级顾问委员会周二召开会议,2004年4月6日。会议包括状态更新的CVE倡议关注最近的里程碑14 10组织的产品和服务实现官方CVE-compatible状态和CVE兼容性颁奖典礼举行RSA 2004;上的状态更新椭圆形的努力,包括一个讨论新的XML引用定义的翻译;讨论CVE的角色和椭圆形的自动化信息保障和脆弱性管理;和一个演示我们的证书。

主教法冠建立了顾问委员会,帮助指导CVE和椭圆和确保计划得到适当的资金。顾问委员会由高管的办公室在美国联邦政府负责政府网络和信息保障系统。参观咨询委员会部分的CVE网站查看咨询委员会的列表成员或阅读的一个副本委员会章程。

CVE礼物简报,12日英国计算机协会国际会议软件质量管理

罗伯特·马丁,CVE兼容性铅和椭圆团队成员,提交了一份简报题为“CVE和OVAL-International安全标准差异”的12日英国计算机协会国际会议软件质量管理在基督教堂,大学,英国肯特郡坎特伯雷。4月5日- 7日举行的会议,旨在“促进合作和更好地理解软件质量管理的实践者和学者们提供一个机会来分享研究和实践经验。”

参观CVE日历页面信息和其他即将来临的事件。联系cve@mitre.orgCVE呈现一个简报或参与小组讨论椭圆,CVE和/或其他脆弱性管理主题在你的事件。

TruSecure公司使CVE兼容性声明

TruSecure公司宣布,其综合管理服务资产智力的威胁,TruSecure IntelliShield早期预警系统(EWS),是CVE-compatible。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

Sourcefire公司使CVE兼容性声明

Sourcefire公司。宣布,其综合安全监控基础设施对于识别和防范网络威胁,CVE-compatible Sourcefire智能安全监控系统。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

CC Cubico解决方案使得CVE兼容性声明

CC Cubico解决方案宣布,其连续风险分析解决方案,远见,是CVE-compatible。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

天空体安全公司使CVE兼容性声明

天空体安全公司。宣布,其风险管理解决方案,天空体看来,CVE-compatible。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

NX安全使CVE兼容性声明

NX安全宣布,其脆弱性评估和修复服务,CVE-compatible NX表达和NX企业。关于这些和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

Shavlik技术,LLC使CVE兼容性声明

Shavlik技术有限责任公司已经宣布它的补丁管理产品,HFNetChkPro Shavlik技术,将CVE-compatible。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。

CVE呈现简报12日英国计算机协会国际会议软件质量管理

罗伯特·马丁,CVE兼容性铅和椭圆团队成员,将提供一个简报题为“CVE和OVAL-International安全标准差异”的12日英国计算机协会国际会议软件质量管理在基督教堂,大学,英国肯特郡坎特伯雷。会议定于4月5日7日,旨在“促进合作和更好地理解软件质量管理的实践者和学者们通过提供共享的研究和实践经验的机会。”

参观CVE日历页面信息和其他即将来临的事件。联系cve@mitre.orgCVE呈现一个简报或参与小组讨论CVE,椭圆形,和/或其他脆弱性管理主题在你的事件。

斜接主机CVE /椭圆形展台信息安全世界会议和博览会/ 20043月22日nd-24th

斜方举办了CVE /椭圆形参展商展位米的InfoSec世界会议和博览会/ 20042月22日24日在罗森中心酒店在奥兰多,佛罗里达州,美国。会议是成功的,并且暴露了CVE和椭圆形不同观众的信息安全政策和决策者的银行、金融、房地产、保险、和医疗保健行业等。

参观CVE日历页面信息和其他即将来临的事件。联系cve@mitre.orgCVE呈现一个简报或参与小组讨论CVE,椭圆形,和/或其他脆弱性管理主题在你的事件。

见下面的照片: