БАЗЫ УЯЗВИМОСТЕЙ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

АННОТАЦИЯ

Уязвимости программного обеспечения являются серьезной проблемой в безопасности информационных систем. Для решения этих проблем были разработаны интернет-базы уязвимостей, обнаруженных в реальных компьютерных системах. Использование стандартизованных описаний уязвимостей упрощает работу специалистов по информационной безопасности.

Ключевые слова: база уязвимостей, безопасность.

Компьютеры в целом, и интернет в частности, имеют большое социальное значение в настоящее время; сеть позволяет людям легко поддерживать контакт друг с другом. В настоящее время 50% населения мира пользуется интернетом, то есть более 3,77 миллиарда человек подключены к интернету. С точки зрения компаний, эта технологическая глобализация имеет как преимущества, так и недостатки. Несмотря на меры безопасности, используемые в настоящее время в любом интернет-сервисе, информационные системы часто подвергаются различным рискам и потенциальным повреждениям.

Уязвимость программного обеспечения – это недостаток в системе, который позволяет злоумышленнику нарушить принятые меры безопасности. Ошибки и сбои не новы в мире программного обеспечения; большая и сложная программная система может иметь большое количество сбоев и ошибок безопасности, которые иногда могут быть использованы злоумышленниками для нанесения ущерба или получения преимуществ. Проблемы безопасности из-за уязвимостей программного обеспечения могут стать особенно тревожными в случае наличия на устройстве компрометирующей информации частного характера, например, информация, относящаяся к истории болезни пациента.

Для борьбы с уязвимостями программного обеспечения были созданы интернет-базы данных, которые фиксируют все эти уязвимости для информирования компаний и программистов. База данных уязвимостей – это платформа, которая хранит, поддерживает и распространяет информацию об уязвимостях, обнаруженных в реальных компьютерных системах. Эти базы данных позволяют оценивать безопасность и управлять уязвимостями. Кроме того, эти данные могут быть перечислены, и каждая уязвимость может быть сохранена с уникальным идентификатором, что в свою очередь облегчает обмен информацией об этих уязвимостях.

В настоящее время одной из самых обширных баз данных уязвимостей является Национальная база данных уязвимостей (НБДУ) правительства США. В этом правительственном хранилище хранятся данные по управлению уязвимостями. Органом, ответственным за эту базу данных, является Национальный институт стандартов и технологий (НИСТ). Эта база данных предоставляет данные в соответствии со спецификациями протокола автоматизации содержимого безопасности (SCAP). SCAP – это набор спецификаций НИСТ для стандартизированного выражения и обработки информации, связанной с отказами и конфигурациями. SCAP имеет ряд компонентов, на которые полагается НБДУ, как и в случае с общим словарем уязвимостей и рисков (CVE). CVE имеет связанные общие оценки системы оценки уязвимости (CVSS), которые указывают на серьезность уязвимости.

CVE – это словарь уязвимостей, который содержит все уязвимости с соответствующими им идентификаторами, сгруппированными по категориям. Общее перечисление слабых мест (CWE) предлагает эту классификацию и необходимую функциональность, чтобы предоставить индустрии безопасности список типов слабых мест.

База данных CVE Details содержит ряд интересных классификаций на своем веб-сайте. Например, там есть исследование того, как частота разных типов уязвимостей менялась со временем, на основе классификации уязвимостей CWE.

Список литературы:

1. [Электронный ресурс]. – Режим доступа: https://www.intuit.ru/studies/courses/3649/891/lecture/32334?page=1 (дата обращения 18.10.2019)
2. [Электронный ресурс]. – Режим доступа: https://ru.wikipedia.org/wiki/Безопасное_программирование (дата обращения 20.10.2019)
3. [Электронный ресурс]. – Режим доступа: https://safe-surf.ru/specialists/article/5228/607311/ (дата обращения 21.10.2019)