Sono consapevole che esiste la lista CVE pubblicata da NVD. Esistono altri elenchi di vulnerabilità importanti che mostrano vulnerabilità diverse dai NVD?
Thx
Sono consapevole che esiste la lista CVE pubblicata da NVD. Esistono altri elenchi di vulnerabilità importanti che mostrano vulnerabilità diverse dai NVD?
Thx
NVD copre molte vulnerabilità. A parte quelli che hai anche:
Sono spesso collegati a NVD CVE. Un altro progetto interessante da seguire è vFeed che fornisce cross link tra fornitori e vulnerabilità CVE.
Si noti che questo copre vulnerabilità divulgate. Ci sono ancora molte vulnerabilità che potrebbero non essere divulgate.
Attualmente la NVD tira fuori solo dal database CVE Mitre, questo cambierà, ma per ora se Mitre non ha una voce scritta, non sarà nel database NVD. Per quanto riguarda Mitre, so che (Red Hat) abbiamo assegnato oltre un migliaio di CVE che non sono nel database Mitre, e anche alcuni degli assegnamenti di Mitre CVE (ad esempio su oss-security @ mailing list) non sono nel database dopo settimane / mesi, c'è un enorme arretrato.
La buona notizia è che per Open Source almeno il Progetto DWF (Distributed Weakness Filing Project link ) tratterà questo e altro.
Solo a complemento della risposta di @ Kurt: Proprio come ha commentato su [NIST] NVD (National Vulnerability Database) che è un database di vulnerabilità del repository governativo degli Stati Uniti, un altro database di vulnerabilità fornito dallo stesso MITER Corp è "CVEDetails.com ".
A parte MITRE Corporation e altre risorse del governo, ce ne sono molti altri che non conosco tutti, ma elencherò i migliori che conosco:
Il primo è IBM XForce Exchange 1 . Questo è uno dei luoghi in cui è possibile tenere traccia delle vulnerabilità prima che sia pubblicato su MITER CVE. L'altra fonte che non è così rara da perdere alcuni riceve informazioni sulla cui vulnerabilità è SecList 2 perché alcune persone che scopre che il difetto del software sceglie di inviare un'e-mail a Seclist prima di annunciare a cve.mitre.org - ha richiesto un abbonamento per ricevere l'avviso sulla tua e-mail.
L'altro è CXSecurity 3 e Seebug.org 4 , dove puoi trovare alcuni exploit o le loro annotazioni che la maggior parte di loro sono pubblicate prima di exploit-db.com 5
Le altre fonti sono:
Attenzione: se desideri utilizzare alcune informazioni su questi database di vulnerabilità menzionati sopra, ti consiglio di leggere i loro termini di condizioni prima di utilizzarli per evitare problemi.
Leggi altre domande sui tag known-vulnerabilities cve