 |
(2005/12/19) - Pour les administrateurs de systèmes, l’obtention des dernières vulnérabilités sur les produits qu’ils utilisent requière de consulter plusieurs sources d’informations. Cette activité s’avère laborieuse et pénible et elle requière de consulter fréquemment les sources d’informations. |
|
Heureusement, il existe maintenant deux inventaires des vulnérabilités informatiques que les administrateurs de systèmes peuvent uniquement consulter. Il s’agit de la National Vulnerability Database et la liste Common Vulnerabilities and Exposures. |
|
La NVD |
|
La National Vulnerability Database (NVD) a été lancé en août 2005 par la National Institute of Standards and Technology (NIST). La base de données remplace l’ancienne base de données du NIST appelée ICAT et elle contient déjà plus de 12000 vulnérabilités. |
|
La NVD présente des informations détaillées sur la portée, l’ampleur et l’impact des vulnérabilités et elle dispose d’améliorations significatives notamment pour la recherche de vulnérabilités qui était disponible avec l’ancienne base de données. |
|
La NVD est approvisionnée par d’autres sources tel la liste Common Vulnerabilities and Exposures (CVE) avec qui elle est synchronisée à chaque cinq minutes. |
|
La CVE |
|
La liste CVE est une liste de noms standardisés (14800 noms dans CVE) pour les vulnérabilités et pour d’autres informations de sécurité. Le but de la liste CVE est de faciliter le partage d’informations provenant de bases de données de vulnérabilités et d’outils de sécurité. |
|
La liste est un dictionnaire important de vulnérabilités des logiciels avec quelques informations utiles pour les administrateurs. |
|
La liste CVE est maintenue par Mitre Corporation. Le contenu de la liste est mis à jour par le CVE Editorial Board. Le “Editorial Board” est composé de plusieurs organisations oeuvrant dans le domaine de la sécurité tels : des fournisseurs de produits de sécurité, des institutions académiques, des gouvernements et des experts en sécurité informatique. |
|
Comment consulter la NVD et la CVE? |
|
La base de données NVD peut-être consultée à partir du site de NIST ou elle peut-être téléchargée gratuitement. NIST publie également un fil d’informations XML de la base de données qui est mis à jour lors de nouvelles découvertes de vulnérabilités. |
|
La liste CVE peut-être consultée à partir du site de Mitre et elle peut-être également téléchargée. |
|
Conclusion |
|
Grâce à la base de données NVD et la liste CVE, les administrateurs de systèmes sont capables de trouver des informations sur les vulnérabilités plus facilement. |
