O National Vulnerability Database (NVD) é um repositório de dados de gerenciamento de vulnerabilidades baseado em padrões representados usando o Security Content Automation Protocol (SCAP). Esses dados permitem a automação do gerenciamento de vulnerabilidades, medição de segurança e conformidade. O NVD inclui bancos de dados de referências de listas de verificação de segurança, falhas de software relacionadas à segurança, configurações erradas, nomes de produtos e métricas de impacto.
O NVD é patrocinado pelo Departamento de Segurança Interna dos Estados Unidos (DHS) National Cybersecurity and Communications Integration Center (NCCIC) / United States Cyber Command (USCYBERCOM) e gerenciado pelo National Institute of Standards and Technology (NIST). O NVD é de código aberto? Não, o NVD não é de código aberto. O National Vulnerability Database (NVD) é o repositório do governo dos Estados Unidos de dados de gerenciamento de vulnerabilidades baseados em padrões representados usando o Security Content Automation Protocol (SCAP). Esses dados permitem a automação do gerenciamento de vulnerabilidades, medição de segurança e conformidade. O NVD inclui bancos de dados de listas de verificação de segurança, falhas de software relacionadas à segurança, configurações erradas, nomes de produtos e métricas de impacto.
Quando você usaria o CVE? O CVE (Common Vulnerabilities and Exposures) é uma lista de vulnerabilidades e exposições de segurança conhecidas. Muitas organizações usam o CVE para ajudá-las a identificar e rastrear problemas de segurança. O CVE pode ser usado para ajudar a criar políticas de segurança, priorizar correções de segurança, e rastrear a segurança geral de uma organização.
Porque é que os NVGs são verdes?
Os NVGs são verdes porque permitem que o usuário veja melhor em condições de pouca luz. O olho humano é mais sensível à luz verde do que qualquer outra cor, portanto o uso da luz verde permite que o usuário veja mais detalhes do que se estivesse usando luz branca.
Todas as vulnerabilidades têm um CVE?
Não, nem todas as vulnerabilidades têm um CVE. CVE é o sistema de numeração de Vulnerabilidades e Exposições Comuns, que é um padrão global para identificar e rastrear vulnerabilidades de segurança. O CVE é mantido pela MITRE Corporation, e é patrocinado pelo Departamento de Segurança Interna dos EUA. Os números atribuídos pelo CVE são identificadores únicos e permanentes para uma determinada vulnerabilidade, e são reconhecidos e utilizados por muitas organizações diferentes, incluindo fornecedores de segurança, sistemas de rastreamento de bugs, e ferramentas de varredura de segurança.
Contudo, existem muitas vulnerabilidades que nunca são atribuídas a um número de CVE, por várias razões. Em alguns casos, o fornecedor ou projeto pode não querer revelar publicamente a existência da vulnerabilidade. Em outros casos, a vulnerabilidade pode não cumprir os critérios para uma atribuição de CVE, que incluem ser divulgada publicamente e ter uma probabilidade razoável de ser explorada.
Onde posso verificar o CVE?
Existem algumas formas de verificar o CVE (Vulnerabilidades e Exposições Comuns). Uma maneira é ir ao site CVE (https://cve.mitre.org/), que é mantido pelo MITRE. Você também pode procurar por CVEs usando o National Vulnerability Database (NVD) (https://nvd.nist.gov/).