2013新万博下载包闻与事件(存档)
2013年12月27日
1产品从北京Topsec现在注册为正式“CVE-Compatible”
一个额外的信息安全产品取得了横切的正式的最后阶段CVE兼容性过程现在正式”CVE-Compatible”。产品现在有资格使用CVE-Compatible产品/服务标志,和完成并审查”CVE兼容性需求评估”问卷发布为产品的一部分组织的清单CVE-Compatible产品和服务CVE网站页面。总共159年产品迄今为止被认为是正式的。
以下产品现在注册为正式“CVE-Compatible”:
| 北京Topsec有限公司 | - - - - - - | TopScanner |
使用官方CVE-Compatible标志将允许系统管理员和其他安全专家寻找标志采用脆弱性管理产品和服务时企业和兼容性过程问卷可以帮助最终用户比较不同产品和服务如何满足CVE兼容性要求,因此这对他们的网络和系统具体的实现是最好的。
额外信息CVE兼容性和审查列出的所有产品和服务,访问CVE兼容性过程和CVE-Compatible产品和服务。
2013年12月9日
CVE采用常见的漏洞报告框架(CVRF)格式
的CVE列表现在发布CVE内容使用吗常见的漏洞报告框架(CVRF)。由行业协会在互联网上安全发展ICASI),CVRF是一种基于xml的标准,使软件漏洞信息共享在machine-parsable漏洞信息提供者和使用者之间的格式。有漏洞信息在一个标准化的格式加速信息交换和消化,同时也使自动化。
“展示CVE CVRF格式的列表会让人们更容易访问CVE内容而不必使用我们的自定义格式,”Steve Christey说绿青鳕,首席信息安全工程师斜方和编辑的CVE列表。“我们希望这将鼓励其他人在安全社区分享漏洞信息使用一个标准化的机器可读的格式。”
CVRF目前所使用的主要供应商,包括红帽公司。,微软公司,思科系统公司,甲骨文公司在CVRF发布他们的安全报告格式:
马克•考克斯高级红帽产品安全主管:“红帽提供CVRF表示我们的安全警告和我们大量使用的数据提供的斜方CVE项目。在一个通用的标准格式数据将帮助我们和其他人使用它。”
达斯汀蔡尔兹集团的经理微软可信赖的计算:“客户保护是微软的一项重点工作,采用新的标准化CVRF格式扩展客户访问cf至关重要的信息。我们很高兴支持提前,让它更容易理解和解决漏洞。”
迈克•Schiffman应用研究员,思科系统和ICASI CVRF工作组主席:“思科,创始成员ICASI CVRF工作组主席,乐于帮助僧帽部署的实际标准机器可读的脆弱性文档的自动创建和消费。”
玛丽安·戴维森为甲骨文公司首席安全官:“甲骨文一直发布CVRF自2012年初以来所有漏洞通信。我们很高兴在CVRF斜方会提供CVE信息格式,因为它将进一步使机器可读格式的安全信息的共享,从而使组织更迅速和有效的反应时安全漏洞信息发布”。
CVE字典,由办公室网络和通讯在美国国土安全部(DHS),包含超过58000个独特的条目和被认为是国际标准。世界各地的产品、服务和组织使用CVE id帮助提高信息安全,CVE正式推荐由国际电信联盟(ITU-T)标准组织在世界范围内使用。
“因为脆弱来自许多不同来源的信息,一个共同的格式更容易分析和导入数据,而不必手动创建自定义工具或这么做,”Christey补充道。“鼓励使用CVRF意味着CVE和其他漏洞信息消费者可以减少所需的努力支持当前使用的各种格式。,由于其采用的主要供应商,CVRF早些时候相比,有更好的机会成功的努力,尤其是随着需求的增长脆弱性数据的自动交换。”
参观CVE使用CVRF页面的附加信息,和/或下载CVE页面访问CVE CVRF格式的内容。
2013年12月5日,
3产品从2组织现在注册为正式“CVE-Compatible”
三个额外的信息安全产品从两个组织取得了横切的正式的最后阶段CVE兼容性过程,现在正式”CVE-Compatible”。产品现在有资格使用CVE-Compatible产品/服务标志,和完成并审查”CVE兼容性需求评估”问卷发布为产品的一部分组织的清单上CVE-Compatible产品和服务CVE网站页面。总共142年产品迄今为止被认为是正式的。
以下产品已经注册为正式“CVE-Compatible”:
| Cr0security | - - - - - - | Cr0security渗透测试和咨询服务 |
| - - - - - - | Cr0security安全测试认证理事会(CCST) | |
| NetentSec公司。 | - - - - - - | NetentSec下一代防火墙 |
使用官方CVE-Compatible标志将允许系统管理员和其他安全专家寻找标志采用脆弱性管理产品和服务时企业和兼容性过程问卷可以帮助最终用户比较不同产品和服务如何满足CVE兼容性要求,因此这对他们的网络和系统具体的实现是最好的。
额外信息CVE兼容性和审查列出的所有产品和服务,访问CVE兼容性过程和CVE-Compatible产品和服务。
ADTsys软件使宣言CVE兼容性
ADTsys软件宣布,其将CVE-Compatible ADTsys云安全服务。这和其他CVE-Compatible产品的附加信息,访问CVE-Compatible产品和服务部分。
2013年11月25日
新CVE编辑委员会成员
新CVE编辑委员会成员
帕诺斯Kampanakis的思科系统公司已经加入了CVE编辑委员会。
新CVE编辑委员会成员
大卫的Waltermire国家标准与技术研究院已经加入了CVE编辑委员会。
“CVE数据源和产品覆盖”页面添加到CVE网站
一个新的CVE数据源和产品覆盖添加到页面CVE列表部分。页面的细节来源提供数据帮助僧帽建立CVE列表,和“必须”产品覆盖所决定的CVE编辑委员会。
2013年10月2日,
IBM宣布CVE兼容性
IBM宣布其脆弱性管理产品,IBM QRadar脆弱性经理,CVE-Compatible。这和其他CVE-Compatible产品的附加信息,访问CVE-Compatible产品和服务部分。
Cr0security使宣言CVE兼容性
Cr0security宣布其Cr0security CVE-Compatible渗透测试和顾问服务。这和其他CVE-Compatible产品的附加信息,访问CVE-Compatible产品和服务部分。
2013年9月6日
于2014年1月1日CVE ID语法变化
的ID语法常见的漏洞和风险敞口(CVE)漏洞标识符,或“CVE id于2014年1月1日”,将会改变。
CVE消费者——供应商、最终用户、研究人员、CVE编号当局(CNAs),等等——将受到CVE ID语法变化的影响。
学习更多的CVE ID语法变化页面。
2013年8月16日
4产品SecPoint现在注册为正式“CVE-Compatible”
四个额外的信息安全产品取得了横切的正式的最后阶段CVE兼容性过程,现在正式”CVE-Compatible”。产品现在有资格使用CVE-Compatible产品/服务标志,和完成并审查”CVE兼容性需求评估”问卷发布为产品的一部分组织的清单CVE-Compatible产品和服务CVE网站页面。155产品迄今为止被认为是正式的。
以下产品已经注册为正式“CVE-Compatible”:
| SecPoint ApS | - - - - - - | SecPoint侵入者 |
| - - - - - - | SecPoint云侵入者 | |
| - - - - - - | SecPoint便携式侵入者 | |
| - - - - - - | SecPoint保护器UTM防火墙 |
使用官方CVE-Compatible标志将允许系统管理员和其他安全专家寻找标志采用脆弱性管理产品和服务时企业和兼容性过程问卷可以帮助最终用户比较不同产品和服务如何满足CVE兼容性要求,因此这对他们的网络和系统具体的实现是最好的。
额外信息CVE兼容性和审查列出的所有产品和服务,访问CVE兼容性过程和CVE-Compatible产品和服务。
不可靠的脆弱性数据和统计数据简报黑帽简报2013
黎肖娴CVE技术主管Steven m . Christey简报开源漏洞数据库(OSVDB)content manager布莱恩·马丁题为“买入偏差:为什么脆弱性统计吸“2013年7月31日黑帽简报2013在拉斯维加斯的凯撒宫殿,内华达州,美国。
参观CVE日历这和其他活动的信息。
斜接主机CVE展台黑帽简报2013
斜方举办了一场“加强网络防御“包括CVE的展台黑帽简报2013在凯撒宫在拉斯维加斯,内华达州,美国,2013年7月27日——8月1日。
参观CVE日历这和其他活动的信息
2013年7月17日,
CVE ID语法改变投票结果
投票的CVE标识符(CVE ID)语法变化现在已经完成的吗CVE编辑委员会已确定,新的CVE ID语法1月1日生效,2014年将是可变长度的任意数字。
这个公告是现在,这样用户就有足够的时间来改变他们的流程和软件处理新的ID语法。
新的CVE ID语法
新的CVE ID语法“CVE前缀+ +任意位数”,将开始在四(4)固定数字和扩大具有任意数字只有当需要在一个日历年度内,例如,CVE-YYYY-NNNN 4位数,如果需要CVE-YYYY-NNNNN 5位数,等等。今年,或者YYYY,表明今年CVE ID是发给一个CVE编号权威(中央社)或当问题是第一次向公众披露。
这个语法选择也意味着不会有变化需要先前指定的CVE id,所有包括4位数。
新的CVE ID语法的例子与4,5和7位数包括如下:
cve - 2014 - 0001
cve - 2014 - 12345
cve - 2014 - 7654321
7月17日,2013”CVE ID语法变化信息“文章下面的图表解释当前(即。,“老”)CVE ID语法和新CVE ID语法。
背景
最初宣布的2013年1月24日文章“呼吁公众反馈即将到来的CVE ID语法变化”,由于公共漏洞报告,增加体积的CVE编辑委员会确定常见的漏洞和风险敞口(CVE)项目需要改变它的语法标准的漏洞标识符这样CVE列表可以跟踪超过10000漏洞在一年内。目前的语法四个固定的数字,CVE-YYYY-NNNN,只有每年最多支持9999个不同的标识符。
最初的计划呼吁公众反馈,紧随其后的是一个正式的投票CVE编辑委员会的成员。然而,在5月3日解释说,2013条”状态更新的CVE ID语法变化”,两轮投票被要求董事会在2013年4月举行的首次投票了领带。提出最初的投票是在三个选项,选项之间的领带发生空间扩展可用的编号6位数,和选项B编号可用空间扩展到任意数量的数字(了解更多关于最初的三个选项)。与CVE编辑委员会,讨论后斜方提出删除选项C从考虑和举行第二轮投票,只有两个选项,当前选项B和稍微修改选项,扩展可用的空间8位数编号(了解更多关于最后的两个选项)。2013年5月举行第二次投票,导致“选项B, CVE前缀+ +任意位数”赢得了投票通过接收15的18选票。
详细讨论和投票的CVE编辑委员会中包括CVE编委会讨论档案——2013年6月,CVE编委会讨论档案——2013年4月,CVE编委会讨论档案——2013年5月讨论档案。
额外的状态更新
关于即将到来的CVE ID附加信息的语法变化将被张贴在CVE网站在未来几个月。与此同时,请解决任何评论或问题cve-id-change@mitre.org。
CVE ID语法变化信息
一个信息图表解释当前(即。,"old") CVE ID Syntax versus the New CVE ID Syntax being implemented on January 1, 2014 is included below.
关于即将到来的额外信息CVE ID语法变化将发布在CVE网站在未来几个月。与此同时,请解决任何评论或问题cve-id-change@mitre.org。
请随时与转发这张资讯图像。我们想语法变革宣布达成尽可能广泛的观众。
2013年7月12日
斜方举办CVE展台黑帽简报20137月27日——8月1日
主教法冠将举办一个“加强网络防御“展台包括CVE黑帽简报2013在凯撒宫在拉斯维加斯,内华达州,美国,2013年7月27日——8月1日。与会者将了解信息安全数据标准促进有效的安全过程的协调和使用自动化评估、管理和改善企业安全信息基础设施的安全状况。
CVE团队的成员将出席。请停止242年布斯说,你好!
此外,CVE技术主管Steven m . Christey将co-present简报开源漏洞数据库(OSVDB)content manager布莱恩·马丁题为“买入偏差:为什么脆弱性统计吸“7月31日。
参观CVE日历这和其他活动的信息。
不可靠的脆弱性数据和统计数据简报黑帽简报20137月31日
CVE技术主管Steven m . Christey将co-present简报开源漏洞数据库(OSVDB)content manager布莱恩·马丁题为“买入偏差:为什么脆弱性统计吸2013年7月31日,“黑帽简报2013在拉斯维加斯的凯撒宫殿,内华达州,美国。
参观CVE日历这和其他活动的信息。
CVE条对不可靠的脆弱性数据和统计数据DarkReading.com
CVE提到在2013年6月13日文章题为“不要把漏洞数量“DarkReading.com不可靠的脆弱性数据和统计数据。这篇文章是一个预览的简报题为“买入偏差:为什么脆弱性统计吸“开源漏洞数据库(OSVDB)content manager布莱恩·马丁和斜接CVE技术主管Steve Christey目前定于7月31日表示在2013年黑帽简报2013。
CVE一节中提到的是关于脆弱性统计数据的不确定性的影响,当作者声明:“混乱的一个主要来源是广泛的缺陷数量。最近的报告从Sourcefire和赛门铁克,例如,是基于漏洞国家漏洞数据库的统计及其缺陷的集合,有共同的脆弱性和风险敞口(CVE)标识符。因此,两份报告有非常相似的数字:5281年和5291年,分别。另一方面,开源漏洞数据库(OSVDB)寻找大量的额外的漏洞报告和职位最高的bug数量为2012 - 9184,由Sourcefire高出75%。其他供应商有自己的脆弱性来源数据通常两个极端之间的土地。惠普的零日计划,购买信息严重的软件安全问题,声称已经发现了8137。”
文章还引用了史蒂夫·Christey状态:“至少,重要的是,人们理解的局限性[是]的数据使用和能够阅读报告基于这些数据足够的怀疑。”
CVE文章中提到的关于网络封闭防御的姿势NetworkWorld.com
CVE,信任的自动交换指标信息(TAXII™),结构化的威胁信息表达式(斯蒂克斯™)提到在2013年5月28日,文章题为“联邦政府向封闭防御的姿势发挥领导作用网络:推动标准,持续的监控和安全自动化可能会鼓励工业和商业部门的协作和支持”NetworkWorld.com。
CVE、TAXII和斯蒂克斯时提到的关于标准探讨什么是他说的三个步骤需要实现“封闭防御的姿势网络”包括接受标准,持续的监控,并接受安全自动化:“接受标准。安全网络生态系统的概念是建立在安全内容自动化协议(SCAP)利用一些标准等常见的漏洞和风险敞口(CVE、常见配置枚举(CCE)和通用平台枚举(CPE)。这些漏洞和配置方面提供一个基础但封闭防御的姿势网络需要标准的数据格式和传输协议等威胁斜方信任自动指示信息的交换(TAXII)和结构化的威胁信息表达(斯蒂克斯)。很可能一些可信计算组织信任链(TCG)标准,平台的身份验证和数据交换也将发挥作用。”
本文作者总结说:“很高兴看到,联邦政府也认识到了这个,愿推动技术创新和改变。这项工作有可能结出果实如果联邦政府可以构建安全社区意识,推动供应商和商业市场参与其中。”
CVE篇关于OWASP中提到2013年的十大安全漏洞NetworkWorld.com
CVE和常见的弱点枚举(CWE™)提到在2013年6月14日,文章题为“分解OWASP 2013年十大安全漏洞:2010年从OWASP的列表和为什么“NetworkWorld.com“安全毯”博客。
CVE和CWE一节中提到的关于web应用程序为什么拒绝服务攻击(DoS)攻击是不包括OWASP名单在引号CVE CWE /技术主管史蒂夫•Christey如下:“关于应用DoS——我不知道我们应该如此不屑一顾。(负面)评论我看到在应用DoS专注于基于网络的攻击。(然而,)还有其他资源消耗流行在CVE漏洞,如无限制的XML实体扩张,又称为。“十亿笑”(cwe - 776)(导致一个DoS由于)内存消耗。另一个例子是算法复杂度包括哈希碰撞,减缓哈希表查找,大约一年前风靡一时,(导致一个DoS由于)的CPU消耗。最近,Ruby和/或基于Ruby的应用已经得到了许多其他资源消耗问题,比如内存DoS通过强制创建大量的符号,“
Christey继续说道,“虽然我不知道多长时间这是剥削,他们可能很难检测,或者经常在未来,他们将利用这些类型的应用程序DoS问题越来越受欢迎。随着代码漏洞变得难找,我想我们会看到更多这样的。这可能不是OWASP十大到需要包容,但是肯定是要注意的东西。”
CVE文章中提到的关于安全自动化GovernmentComputer万博下载包News.com
CVE和开放的脆弱性和评估语言(椭圆形®)文章中提到的2013年6月17日,题为“NIST,国土安全部安全自动化推到下一个阶段”GovermentComputer万博下载包News.com。本文的主题是,自动化是网络安全的未来和如何”机构在到达一个自动化环境中面临着挑战,然而,是否由于预算紧张,复杂的系统或自动化工具,不一定一起工作。联邦政府支持的努力通过发展所必需的标准可互操作的工具和提供入侵检测和预防作为服务机构”。
CVE和椭圆部分清单中提到的组件美国国家标准与技术研究院(NIST)“安全内容自动化协议(SCAP),开发的一套可互操作的规范国家标准与技术研究所的协作与公共和私营部门的安全社区。尽管NIST的安全自动化超出脆弱性管理议程,SCAP在其目前的形式,版本1.2,主要处理端点遵从性配置需求。规范,包含在特殊的800 - 126年出版支持自动配置、漏洞和补丁检查技术控制合规和安全测量。“CVE是本文提到的枚举SCAP为“使用标准术语和官方词典条目表示使用术语“和椭圆形提到使用的语言SCAP“表达安全政策,技术检查机制和评估结果。”
CVE兼容性新闻稿由高科技桥公司的主要话题
CVE和常见的弱点枚举(CWE™)2013年7月2日的主题,新闻稿高科技桥山题为“SaaS ImmuniWeb网络安全评估认证CVE CWE兼容“关于ImmuniWeb产品实现官方CVE-Compatible地位和官方CWE-Compatible的地位。
CVE兼容性的版本还包含一个引用罗伯特·马丁,状态:“我们总是兴奋的CVE和CWE努力采用和商业产品中使用,但尤其可喜时由公司在其他国家和市场,像高科技的桥。利用CVE和CWE ImmuniWeb无疑会使商业意识和它直接帮助客户提高速度和直接解决漏洞和弱点,把组织的风险。”
高科技桥的CVE ImmuniWeb兼容性调查问卷可用的一部分组织的清单吗CVE-Compatible产品和服务CVE网站页面。
2013年6月21日
从现在的高科技桥1产品注册为正式“CVE-Compatible”
一个额外的信息安全产品取得了横切的正式的最后阶段CVE兼容性过程现在正式”CVE-Compatible”。产品现在有资格使用CVE-Compatible产品/服务标志,和完成并审查”CVE兼容性需求评估”问卷发布为产品的一部分组织的清单CVE-Compatible产品和服务CVE网站页面。总共136年产品迄今为止被认为是正式的。
以下产品现在注册为正式“CVE-Compatible”:
| 高科技桥SA的 | - - - - - - | ImmuniWeb |
使用官方CVE-Compatible标志将允许系统管理员和其他安全专家寻找标志采用脆弱性管理产品和服务时企业和兼容性过程问卷可以帮助最终用户比较不同产品和服务如何满足CVE兼容性要求,因此这对他们的网络和系统具体的实现是最好的。
额外信息CVE兼容性和审查列出的所有产品和服务,访问CVE兼容性过程和CVE-Compatible产品和服务。
2013年5月3日
状态更新的CVE ID语法变化
最初宣布的2013年1月24日文章“呼吁公众反馈即将到来的CVE ID语法变化由于体积的增加,“公共漏洞报告,常见的漏洞和风险敞口(CVE)项目将改变它的语法标准的漏洞标识符这样CVE列表可以跟踪超过10000漏洞在一年内从当前的语法,CVE-YYYY-NNNN,只有每年最多支持9999个不同的标识符。
最初的计划呼吁公众反馈,紧随其后的是一个正式的成员投票CVE编辑委员会。投票期内已经关闭,导致选择之间的联系和选项B(三个原始选项的详细信息,请参阅https://cve.mitre.org/data/board/archives/2013-01/msg00011.html)。
第二轮投票需要
与CVE编辑委员会讨论后,提出删除选项C从考虑冠冕,稍微修改选项之间提供一个新的选择和当前选择B。
建议(新)选项编号可用空间延伸至8位数,而不是目前的4位数,或早期提出的6位数。选项B一起不变,考虑的新选项:
选择一个(+ 8位数,固定长度,用前导零)
- 例子:cve - 2014 - 00000001, cve - 2014 - 00009999, cve - 2014 - 12345678
选项B(年+任意数字,没有前导零id 1 - 999除外)
- 例子:cve - 2014 - 0001, cve cve - 2014 - 0999 - 2014 - 1234567
如果你有兴趣讨论后,你可以订阅CVE ID-Syntax-Discuss邮件列表,如果您还没有这样做,按照下面的说明:
- 订阅、发送电子邮件listserv@lists.mitre.org。在电子邮件的主体,类型:CVE ID-SYNTAX-DISCUSS-LIST订阅
如果你希望你的名字包含在订阅,订阅使用以上或如果你有麻烦,请使用这个替代“订阅”行:
- 订阅使用替代方法,发送一个电子邮件listserv@lists.mitre.org。在电子邮件的主体,类型:订阅CVE ID-SYNTAX-DISCUSS-LIST <你的名字>
安排第二轮投票
公开讨论
- 星期三,2013年5月1日12:01(美国东部时间)-讨论期间打开的CVE编辑部和CVE ID语法讨论邮件列表。
- 星期二,2013年5月7日,11:59(美国东部时间)-讨论期间关闭。
CVE编辑委员会投票
- 星期三,2013年5月8日,12:01(美国东部时间)——第二官方投票期开始。
- 周三,2013年5月22日11:59(美国东部时间)——第二官方投票期结束。
我们将宣布投票结果以及CVE宣布和其他电子邮件名单尽快完成和验证。
请发送任何评论或问题cve@mitre.org。
斜接主机CVE展台信息安全世界2013
斜方举办了一场“加强网络防御“包括CVE的展台信息安全世界大会和2013年世博会在迪斯尼世界天鹅和海豚在奥兰多,佛罗里达州,美国,2013年4月15 - 17日,。
参观CVE日历这和其他活动的信息。
CVE中提到“自动化安全合规&操作保护关键基础设施”研讨会
斜方高级信息保障工程师路易斯Nunez嘉宾在产业合作研讨会的主题名为“自动化安全合规&操作保护关键基础设施“2013年4月9日。系统工程、高级总监联邦,瞻博网络蒂姆LeMaster也是一个演讲者,和鲍勃•阿克曼信号杂志主编是主持人。事件是由瞻博网络。
包含的网络研讨会讨论的话题:为什么自动化是至关重要的保护关键的网络和计算基础设施,具有成本效益的策略来改善安全的信息共享,简化网络操作如何开始,如何网络自动化和编制无缝工作流管理至关重要。常见的漏洞和风险敞口(CVE®)和开放的脆弱性和评估语言(椭圆形®)也提到过。
2013年4月4日
CVE展位的照片RSA 2013
斜方举办了一场“加强网络防御“包括CVE的展台RSA会议2013在旧金山Moscone中心,加利福尼亚,美国于2013年2月25日- 3月1日。
加强网络防御展位照片:
参观CVE日历这和其他活动的信息。
2013年3月21日
CVE超过55000 CVE标识符列表
CVE网站现在包含55027独特的信息安全问题与公开已知的名字。CVE,始于1999年只有321常见的名字CVE列表,被认为是国际标准对公共软件脆弱性的名字。信息安全专业人士和来自世界各地的产品供应商使用CVE标识符(CVE id)的标准方法识别漏洞,对于交联在产品、服务和其他存储库使用标识符。
CVE的广泛应用在企业安全了许多CVE-Compatible产品和服务使用在工业,政府,学术界脆弱性管理漏洞提醒、入侵检测、补丁管理。来自世界各地的主要操作系统供应商和其他组织也包括CVE IDs安全警报确保国际社会福利通过标识符尽快宣布一个问题。此外,CVE id被用来识别漏洞的无高级网络安全风险自2000年成立以来威胁列表。
CVE也激发了新的努力。斜接的常见的弱点枚举(CWE™)词典软件的弱点部分基于CVE列表类型,及其开放的脆弱性和评估语言(椭圆形®)努力使用CVE id为其标准化的椭圆形脆弱性定义测试系统对cf的存在。此外,美国国家漏洞数据库(NVD)CVE修复信息同步和基于CVE列表还包括安全内容自动化协议(SCAP)内容。SCAP雇佣社区标准,使“自动漏洞管理、测量和政策合规评估(例如,FISMA合规)”和CVE现有的开放标准列举SCAP用途,评估和测量软件问题和报告结果的影响。
2011年,国际电信联盟(ITU-T)网络安全报告员集团内的电信/信息系统标准的身体以条约为基础而结成的150岁高龄的政府间组织,采用CVE作为其新的“的一部分全球网络安全信息交换技术(X.CYBEX)“通过发行建议ITU-T X.1520常见的漏洞和风险敞口(CVE),这是基于CVE目前的兼容性要求文档,任何未来的变化会反映在X.CVE后续更新。
每个55000 +标识符的CVE列表包括以下:CVE标识符(读到即将到来的数量CVE标识符语法变化);安全漏洞的简要描述;和相关的漏洞报告和报告或OVAL-ID等引用。参观CVE列表页面下载各种格式的完整列表或查找一个标识符。修复和增强搜索的CVE可用的信息NVD。
CVE编辑的评论页面更新
一个新条目添加到CVE-Specific部分的CVE编辑的评论页CVE列表部分:”“上下文相关的”和“User-assisted CVE的术语。
CVE编辑的评论页面关于漏洞,包括意见和评论软件保证和相关主题的CVE史蒂夫Christey列表编辑器。帖子是社区问题或CVE-Specific。
“自动化安全合规&操作保护关键基础设施”研讨会,4月9日
横切信息保障老Luis Nunez将担任演讲嘉宾在产业合作研讨会的主题名为“自动化安全合规&操作保护关键基础设施“2013年4月9日,从下午1点-下午2点,东部时间。系统工程、高级总监联邦,瞻博网络蒂姆LeMaster也将成为议长和鲍勃•阿克曼信号杂志主编将主持人。事件是由瞻博网络。
研讨会将讨论的话题包括:为什么自动化是至关重要的保护关键的网络和计算基础设施,具有成本效益的策略来改善安全的信息共享,简化网络操作如何开始,如何网络自动化和编制无缝工作流管理至关重要。
为更多的信息和注册访问http://www.afcea.org/signal/webinar。
2013年3月13日,
斜方举办CVE展台信息安全世界20134月15 - 17日
主教法冠将举办一个“加强网络防御“包括CVE的展台信息安全世界大会和2013年世博会在迪斯尼世界天鹅和海豚在奥兰多,佛罗里达州,美国,2013年4月15 - 17日,。与会者将了解信息安全数据标准促进有效的安全过程的协调和使用自动化评估、管理和改善企业安全信息基础设施的安全状况。
CVE团队的成员将出席。请停止313年布斯说,你好!
参观CVE日历这和其他活动的信息。
CVE编委会会议纪要
会议纪要从CVE编辑委员会2013年1月8日举行的电话会议上可用CVE编辑部的邮件讨论列表&会议存档CVE社区页面部分。
CVE编辑的评论页面更新
三个新项目添加到CVE-Specific部分的CVE编辑的评论页CVE列表节:“CVE和“弱”加密”、“CVE抽象选择和Linux内核”和“CVE指导图书馆和资源消耗DoS。"
CVE编辑的评论页面关于漏洞,包括意见和评论软件保证和相关主题的CVE史蒂夫Christey列表编辑器。帖子是社区问题或CVE-Specific。
斜接主机CVE展台RSA 2013
斜方举办了一场“加强网络防御“包括CVE的展台RSA会议2013在旧金山Moscone中心,加利福尼亚,美国于2013年2月25日- 3月1日。
参观CVE日历这和其他活动的信息。
2013年2月28日
ALTX-SOFT使宣言CVE兼容性
ALTX-SOFT宣布开放脆弱性和评价语言的存储库(椭圆形®)内容,ALTX-SOFT Ovaldb, CVE-Compatible。这和其他CVE-Compatible产品的附加信息,访问CVE-Compatible产品和服务部分。
NetentSec公司使宣言CVE兼容性
NetentSec公司。宣布,其网络应用安全产品,下一代防火墙(NGFW),将CVE-Compatible。这和其他CVE-Compatible产品的附加信息,访问CVE-Compatible产品和服务部分。
2013年2月7日,
CVE布斯在RSA 2013,2月25日- 3月1日
主教法冠将主办一个“加强网络防御”包括CVE的展台RSA会议2013在旧金山Moscone中心,加利福尼亚,美国于2013年2月25日- 3月1日。与会者将了解CVE和其他信息安全数据标准促进有效的安全过程的协调和使用自动化评估、管理和改善企业安全信息基础设施的安全状况。
CVE团队的成员将出席。请停止2617年布斯说,你好!
参观CVE日历这和其他活动的信息。
CVE编辑委员会举行电话会议
的CVE编辑委员会2013年1月8日举行电话会议会议讨论未来的全球漏洞报告峰会在2012年《京都议定书》第一技术讨论会和即将到来的CVE标识符语法变化。
2013年1月24日
呼吁公众反馈即将到来的CVE ID语法变化
由于体积的增加公众漏洞报告,常见的漏洞和风险敞口(CVE)项目将改变它的语法标准的漏洞标识符所以CVE可以跟踪一年10000多的漏洞。目前的语法,CVE-YYYY-NNNN,只有每年最多支持9999个不同的标识符。
因为ID语法的变化将影响许多政党包括最终用户和供应商,CVE项目是做这种变化之前向民众征求反馈。
公众的反馈周期将继续通过RSA会议20132013年3月1日,2月25日举行,与会者将能够与CVE人员斜方和成员CVE编辑委员会。正式的编辑委员会投票后,最终选择将和公众将收到通知,目前计划在2013年3月。
语法变化定于1月1日生效,2014年,因此,用户将有足够的时间来改变他们的流程和软件处理新的ID语法。
CVE编辑委员会的领导下,我们已经确定了三个选项,一个新的ID语法,总结如下:
选项(一年+ 6位数,与领先0)
- 例子:cve - 2014 - 000001, cve cve - 2014 - 009999 - 2014 - 123456
选项B(年+任意数字,没有领导除了id 0 1到999)
- 例子:cve - 2014 - 0001, cve cve - 2014 - 54321 - 2014 - 123456
选项C(+任意数字+校验位)
- 例子:cve - 2014 - 1 - 8, cve - 2014 - 9999 - 3, cve - 2014 - 123456 - 5
选择其中一个选项作为CVE的新语法标识符。这里有一些更多的细节:https://cve.mitre.org/data/board/archives/2013-01/msg00011.html。
如果你想评论这些选项,您可以:
- 电子邮件你的评论cve-id-change@mitre.org监控的横切的CVE团队成员。
- 发布一个新的公开讨论列表关注变化的CVE ID。订阅、发送电子邮件listserv@lists.mitre.org。体内的电子邮件、类型:
订阅CVE ID-SYNTAX-DISCUSS-LIST
- 回复的任何公共邮件列表,这个公告已经发布了(例如,Bugtraq邮件列表oss-security邮件列表,CVE-Announce,等等)。
由于大量的我们希望收到回复,我们将不能够回复每一封电子邮件消息;然而,我们将发布一个汇总的反应。
2013年1月11日,
斜方宣布最初的“安全”可测量的2013年日历的事件
斜方宣布首次使安全可衡量的2013年的日历事件。细节对于横切的安排参加指出在这些事件CVE日历页面。每个清单包括事件名称和URL,日期,地点,和我们的活动的描述事件。
- RSA会议2013,2013年3月21日2月1日
- 信息安全世界大会和2013年世博会4月15 - 17日,2013年
- 黑帽简报2013,2013年8月27日7月1日
其他事件可能被添加在。参观CVE日历信息或联系cve@mitre.org斜方提交一份简报或参与小组讨论CVE®,椭圆形®,CCE™,CPE™,中东欧™,CWE™,水煤浆™,CAPEC™,MAEC™,CybOX™,斯蒂克斯™,TAXII™和/或使安全可衡量的在你的事件。
