База данных уязвимостей с открытым исходным кодом - Open Source Vulnerability Database
Эта статья поднимает множество проблем. Пожалуйста помоги Улучши это или обсудите эти вопросы на страница обсуждения. (Узнайте, как и когда удалить эти сообщения-шаблоны) (Узнайте, как и когда удалить этот шаблон сообщения)
|
В База данных уязвимостей с открытым исходным кодом (OSVDB) был независимым и открытым исходным кодом база данных уязвимостей. Целью проекта было предоставить точную, подробную, актуальную и объективную техническую информацию о безопасность уязвимости.[1] Проект способствовал более широкому и открытому сотрудничеству между компаниями и частными лицами. Девиз базы данных: «Все уязвимо».[2].
Ядром OSVDB была реляционная база данных, которая связала различную информацию об уязвимостях безопасности в общую, перекрестную ссылку. открытая безопасность источник данных. По состоянию на декабрь 2013 года в базе данных было зарегистрировано более 100 000 уязвимостей.[3] В то время как база данных поддерживалась некоммерческой общественной организацией 501 (c) (3) и волонтерами, данные были запрещены для коммерческого использования без лицензии. Несмотря на это, многие крупные коммерческие компании использовали данные в нарушение лицензии, не выделяя своим сотрудникам время волонтеров или финансовую компенсацию.[4]
История
Проект стартовал в августе 2002 г. Черная шляпа и DEF CON Конференции нескольких известных представителей отрасли (в том числе Х. Д. Мур, rain.forest.puppy и другие). Под новым руководством база данных официально открыта для общественности 31 марта 2004 года.[5] Первоначальная реализация была написана на PHP Форрестом Рэй (FBR). Позже Дэвид Шеттлер переписал весь сайт на Ruby on Rails.
В Фонд открытой безопасности (OSF) был создан для обеспечения постоянной поддержки проекта. Джейк Кунс (Зел), Крис Салло, Келли Тодд (AKA Lyger), Дэвид Шеттлер (AKA D2D) и Брайан Мартин (AKA Jericho) были руководителями проекта OSVDB и в разное время занимали руководящие должности в OSF.
5 апреля 2016 года база данных была закрыта, а блог изначально вел Брайан Мартин.[6] Причиной закрытия было продолжающееся коммерческое, но безвозмездное использование охранными компаниями.[7]
По состоянию на январь 2012 г. запись уязвимостей производилась штатными сотрудниками Risk Based Security. [8], который предоставил персонал для выполнения работы, чтобы отдать должное сообществу. Каждая новая запись включала полное название, график раскрытия информации, описание, решение (если известно), метаданные классификации, ссылки, продукты и исследователя, обнаружившего уязвимость (доверенного лица).
Процесс
Первоначально сообщения об уязвимостях, опубликованные в различных списках безопасности и на веб-сайтах, вводились в базу данных как новая запись в очереди New Data Mangler (NDM). Новая запись содержала только заголовок и ссылки на раскрытие. На этом этапе страница новой записи не содержала подробного описания уязвимости или каких-либо связанных метаданных. По мере возможности новые записи анализировались и уточнялись, добавляя описание уязвимости, а также решение, если оно доступно. Это общее действие называлось «искажением данных», а того, кто выполнял эту задачу, называли «манипулятором». Искажением занимались основные или случайные добровольцы. Детали, представленные волонтерами, были проверены основными волонтерами, называемыми «модераторами», для дальнейшего уточнения записи или отклонения добровольных изменений, если это необходимо. Новая информация, добавленная к записи, которая была одобрена, затем стала доступна всем, кто просматривает сайт.
Авторы
Некоторые из людей, которые вызвались и поддерживали OSVDB:
- Джейк Кунс (сотрудник OSF, модератор)
- Крис Салло (Сотрудник OSF, модератор)
- Брайан Мартин (сотрудник OSF, модератор)
- Келли Тодд (сотрудник OSF, модератор)
- Дэвид Шеттлер (сотрудник OSF, разработчик)
- Форрест Рэй (Разработчик)
Среди других волонтеров, которые помогали в прошлом:
- Стив Торнио (модератор)
- Александр Корен (Манглер)
- Трэвис Шак (Манглер)
- Сусам Пал (Манглер)
- Кристиан Зайферт (Манглер)
- Зайн Мемон
Рекомендации
- ^ Розенкранс, Линда (16 апреля 2004 г.). «Кратко: база данных уязвимостей запущена». Computerworld. Получено 15 августа 2020.
- ^ «Предвзятая статистика уязвимостей программного обеспечения, восхваляющая Microsoft, вводила в заблуждение на 101%». Получено 20 мая 2020.
- ^ «Мы достигли отметки в 100 000…». 20 января 2014 г.. Получено 22 января 2020.
- ^ «McAfee обвиняется в McSlurping в базе данных уязвимостей с открытым исходным кодом». www.theregister.com. Получено 15 августа 2020.
- ^ Голд, Джон (7 апреля 2016 г.). «База данных уязвимостей с открытым исходным кодом закрывается». Сетевой мир. Получено 22 января 2020.
- ^ «OSVDB: Fin». 5 апреля 2016 г. Архивировано с оригинал 28 мая 2016 г.. Получено 22 января 2020.
- ^ Ковач, Эдуард. «Ответ McAfee Issues на обвинения OSVDB в отношении извлечения данных». софтпедия. Получено 15 августа 2020.
- ^ "Домашняя страница". RBS. Получено 15 августа 2020.