Июнь 2008

«Тайна мешает людям точно оценить свой страх и риск. Секретность исключает публичные дебаты о безопасности и подавляет образование безопасности, что приводит к улучшению. Секретность не улучшает безопасность; Он душит его.»

Брюс Шнайер

Эта статья знакомит Open источник уязвимости базы данных (OSVDB) проект, который управляет глобальной коллекцией уязвимостей в системе безопасности компьютера. Она свободно доступна для информационной безопасности сообщества. Эта коллекция содержит информацию о слабости безопасности операционных систем, программных продуктов, протоколы, аппаратные устройства и другие элементы инфраструктуры информационных технологий. OSVDB проект предназначен для централизованного глобального открытого источника уязвимости сбора на Интернете.

Уязвимость базы данных

Уязвимость является ошибка или слабость в компоненте, который позволяет ему быть нападению, в результате несанкционированного использования элемента или повреждения к нему и компонентов, подключенных к нему. В сети информационных технологий, как Интернет успешная эксплуатация уязвимостей может привести к повреждению операционной системы, незаконное освобождение информации, уничтожения данных, перебоев в предоставлении услуг и галактики других невзгод.

Хотя мы часто обсуждаем уязвимости в целом такие термины, как «открытый атака man-in--middle» или «позволяет удаленного буфера переполнения», нападающие и защитники знают, что суть уязвимости безопасности никогда не общее описание, а скорее уязвимости конкретных деталей. Есть очень мало общих атак, которые будут работать против нескольких целей. Кроме того есть несколько общих уязвимостей, которые одновременно затрагивают различные сетевые компоненты. Вместо этого классическая уязвимость затрагивает одну функцию одного выпуска программного продукта, установленных под одной операционной системы, функция, которая может быть использована только одним способом.

Из триллионы строк кода, выполняемого в сетевых системах уязвимость может существовать в одной строке. Это уникальное зерно песка в Майл Лонг-Бич. Как те, с системами этой уникальной порочной линии знаю, что они являются потенциальными жертвами? И как они определяют решение?

Поскольку число компонентов сети растет с каждым годом, также растет число уязвимостей. Ежегодные объявления уязвимости в настоящее время число в тысячах далеко за рамки возможностей человеческой памяти для управления. Хорошо организованные базы данных, с проверенными содержимым и гибкий поиск способностей, необходимы, если эти уязвимости находятся под контролем сообщества безопасности.

База данных уязвимости обслуживает многие общины: предприятия должны знать ли элементы их текущей или планируемой вычислительной среды подвержены ошибки безопасности, администраторы системы оповещения для безопасности неисправностей и их лечения, разработчикам программного обеспечения необходимо предупреждение при их продукты показали недостатки безопасности, и безопасности практиков зависят от всеобъемлющей и стандартизированной уязвимости список для создания продуктов и услуг.

Исторически сложилось так это было трудно разработать всеобъемлющую, объективную, и своевременный ресурс, который обеспечивает для этих потребностей. Одной из причин трудностей, документирование и распространение уязвимостей стал огромной задачей. CERT, уязвимости безопасности исследовательского центра в институте разработки программного обеспечения Университета Карнеги-Меллона, определили только 171 уязвимости в 1995 году, но сообщили 7,236 в 2007 году: увеличение более чем 4000 процентов в двенадцать лет. Счетчики сертификата считаются консервативной и фактическое число уязвимостей, с которыми сталкиваются администраторы, разработчики, и организации могут быть выше.

Усилия, необходимые для отслеживания уязвимостей превышает ресурсы большинства организаций, и маловероятно уменьшить объем информации, появляющихся каждый год. Для удовлетворения растущей потребности для уязвимости управления OSVDB использует усилия Всемирной безопасности практиков и власть открытым исходным кодом модели развития для обнаружения, проверки и документирования этой важной информации.

OSVDB обеспечивает необходимую структуру, технологии и содержания для поддержки сообщества безопасности уязвимости управления. OSVDB стремится быть ведущим открытым исходным кодом проекта в своей области, помогая практикующих развиваться и выйти за рамки текущей основной реакционных модели. Поддерживая тесную связь с сообществом безопасности, оставаясь беспартийным с коммерческими интересами и открытыми для разработки контента сообщества, а также путем активного поощрения передового опыта в своей работе, OSVDB обеспечит стабильный, мирового класса ресурсов для всех проектов по обеспечению безопасности и практиков.

Проект OSVDB

OSVDB проект был начат в 2002 году после реализации в сообществе безопасности что нет независимых, сообщества эксплуатировалось уязвимости база данных существует. Там были и до сих пор, многочисленные уязвимости баз данных. Некоторые из этих баз данных находятся в ведении частных интересов для удовлетворения своих собственных потребностей, в то время как другие содержат ограниченное подмножество уязвимостей или имеют значительные ограничения на их содержание. Руководители проекта OSVDB's установили для реализации уязвимости базы данных, которая отвечает трем требованиям. База данных должна быть: i) всеобъемлющий характер; II) открыт для использования; и iii) подотчетны к сообществу.

OSVDB в настоящее время является активное веб-приложение. Проект первоначально был развернут в двух основных частей: переднего плана позволило уязвимости для поиска и сообщил о, и задней части вкладчиков для добавления или изменения уязвимости. Для того, чтобы упростить процесс, OSVDB недавно реализован настраиваемый портал, который полностью интегрирует старый интерфейс задней и передней части сайта. Кроме того метод обновления уязвимостей было изменено на wiki подобная система, которая позволяет войска для редактирования отдельных полей при необходимости. OSVDB также доступна для загрузки в нескольких форматах экспорта баз данных и как очень маленький Ruby on Rails приложения. Это приложение использует наш экспорт базы данных SQLite, чтобы предоставить пользователю свои собственные, хотя и относительно безликих, локальный экземпляр OSVDB.

Модераторы OSVDB выявлять новые уязвимости и присвоить им уникальный идентификатор. Это позволяет вкладчиков возможность рыскать в Интернете информацию с описанием уязвимости, а затем захватить детали в записи базы данных в OSVDB самой. Модератор проверяет каждую запись уязвимости до фиксации, для обеспечения OSVDB стандартов для ясности и точности. После обновления, он доступен всем требующим уязвимости информации из базы данных. Этот процесс быстро, делая новые уязвимости для сообщества быстро. Это также эффективный, Максимизация производительности для вкладчиков и модераторов, так что команда может держать выше рост уязвимости данных. Были улучшены онлайн-процесс и автоматизации, которая поддерживает его непрерывно, поскольку проект открыт, и команда OSVDB будет по-прежнему добавлять значение к основной базе данных и связанных с ними служб с течением времени.

Цели проекта

Многие усилия безопасности извлечь выгоду из одного источника, список всех уязвимостей. Это в отличие от федеративного подхода, где несколько списков уязвимости должны быть запрошены и результаты объединены для получения всеобъемлющего результата. Разработчики, создающие уязвимости средства оценки, системных администраторов, защиты серверов и сетей, Бизнес-персонал, оценке рисков и средств правовой защиты, академических исследователей, документирования и анализа прошлого и будущего сетевой безопасности. Все вкладывать усилия в выявлении уязвимостей, всю работу, документировать их последовательно, и все могут извлечь пользу из единого, всеобъемлющего источника данных уязвимости. Проект OSVDB уменьшает дублирование усилий и способствует согласованности данных.

Серьезные пользователи любой базы данных оценить ее источников и практики перед установкой доверия в его содержании. OSVDB беспристрастной и нейтральной в своей практике для приема, анализа и публикации уязвимостей. Его открытый признание сообщества и процессов внутреннего обзора убедитесь, что база данных уязвимости не окрашена от поставщика предубеждения. OSVDB команда работает, чтобы убедиться, что содержание равномерно отражает фактическое распределение уязвимостей, ни чрезмерно разоблачение под разоблачение конкретных операционных систем, продукции или продавцов. Некоторые эксперты вызвали опасения, что такая база данных всеобъемлющей безопасности могут представлять потенциальную опасность. Это проблема безопасности в классической раскрытия. Помогает ли уязвимость базы данных злоумышленник? Он может сделать это, но он обеспечивает гораздо более значительные выгоды для правозащитников. Google может считаться крупнейшим и наиболее подробной уязвимости базы данных во Вселенной. Он работает ли другие списки уязвимости существуют и обеспечивает основной ресурс для выделенного злоумышленника.

Учитывая широту проблемы информационной безопасности предприятий и частных лиц, это легко понять подписчиков к безопасности информации охватывают широкий диапазон технических фонов и навыков. Иногда некоторые производители программного обеспечения подвергались критике за освобождение уязвимости информацию, которая не хватает деталей системы администраторов необходимо. Другие разработали огонь для уязвимости сложных отчетов, которые путают домашних пользователей и нетехнических сотрудников. OSVDB включает описания бизнес уровня и технических деталей для уязвимостей в базе данных. Создание и предоставление правильного типа для предполагаемой аудитории позволяет OSVDB обслуживать всех потребителей информации уязвимости.

Многие операции по обеспечению безопасности, будь то автономные организации или отделов безопасности предприятий, действуют в рамках жесткой финансирования и должны полагаться на бесплатные усилия других, чтобы быть успешным. Функции и услуги OSVDB в пользу всех безопасности практиков, потому что они повсеместно доступны, без контроля распространения и без сборов или сборов. OSVDB конечные результаты могут быть свободно использованы, будь то в качестве автономных компонентов или интегрированы в другие инструменты. Например открытым исходным кодом веб уязвимости сканера как Nikto или Nessus могут использовать OSVDB данные для заполнения отчетов из проверки уязвимости. Обе команды развития экономить усилия в поиске и документирование уязвимостей и безопасности сообщества выгоды от всеобъемлющей и последовательной отчетности.

OSVDB организаторы считают, что более одной уязвимости базы данных необходима для удовлетворения полного различных требований сообщества. 2-й семинар по исследованиям с базами данных уязвимости безопасности, заявил, соответствует ли «без одно предложение необходимым всех заинтересованных сторон» и что параллельное осуществление различных стратегий будет иметь наилучшую возможность для достижения успеха. OSVDB намеревается выполнить требования признанного сообщества для открытого, централизованный ресурс.

Хотя он ссылается на другие базы данных уязвимости, разрабатывает свои собственные записи базы данных, чтобы обеспечить, что нет никаких ограничений на распространение и повторное использование данных OSVDB уязвимости. Его содержание свободны от стоимости и свободных от ограничений на использование в условиях свободной лицензии OSVDB.

Достижения проекта

С 31 марта 2004 года, когда OSVDB впервые открыт для общественного пользования, проект достиг многих этапов, в том числе:

  1. Формирование открытого фонда безопасности, некоммерческий общественный фонд, который обеспечивает независимое, точную, подробную, текущих и объективной безопасности информации организациям, защищает OSVDB от коммерческого приобретения и формализует налоговый статус вкладчиков.
  2. Создание OSVDB поставщика словаря, бесплатный ресурс, через который сообщество безопасности возможность собирать контактную информацию поставщика. Словарь поставщиков — список поставщиков, индексированных по имени, которое может свободно Поиск и используется всеми, кто хотел бы найти как общие, так и безопасность контактной информации. Служба также предоставляет способ для продавцов обновлять свою информацию в словаре.
  3. OSVDB блог начал как путь для проекта, чтобы информировать общественность лучше информированы о состоянии проекта. Очень быстро блог стал местом для обсуждения и замечания по различным аспектам уязвимости и стал успешным механизмом для общения с индустрии безопасности.
  4. Чтобы разрешить пользователям определять конкретные предупреждения уязвимостей с OSVDB в Watchlist службы был реализован пользовательский портал. Эта услуга позволяет пользователям отслеживать новые уязвимости поставщика или продуктов, а также консолидирует списки рассылки безопасности поставщика.
  5. OSVDB отображает соответствующие блоги для дополнительного чтения и имеет возможность для практикующих безопасности прокомментировать конкретные факторы уязвимости. В то время как OSVDB сделал все возможное, чтобы включить все ссылки в некотором роде, мы осуществили сжатый метод сообщества для добавления сведений об уязвимости.
  6. Детальная классификация система позволяет OSVDB отслеживать многочисленные поля для каждой уязвимости. Расширение данных позволяет пользователям находить уязвимости, на основе таких критериев, как тип атаки, статус решения, или ли уязвимость подтверждено или оспорены продавцом.
  7. Интеграция и перекрестным ссылкам OSVDB через программный интерфейс приложений (API), который может предоставить несколько форматов результата, чтобы соответствовать различным потребностям. Запросы могут выполняться любое количество корреляции факторов, включая CVE ID, идентификатор бюллетеня Microsoft, Bugtraq ID и множество других общих контрольных точек.
  8. OSVDB поддерживает несколько форматов экспорта базы данных (CSV, XML, SQLite и MySQL), а также небольшой Ruby on Rails приложение, которое использует экспорт базы данных SQLite, чтобы предоставить пользователю их собственный локальный экземпляр OSVDB.

Планы на будущее

OSVDB работает на достижение следующих целей:

  1. OSVDB уязвимости раскрытия Framework, службы, чтобы помочь улучшить, рационализации и, что более важно, удалить тайну и сбои в процессе раскрытия. Основа поможет исследователям и поставщикам для лучшей координации раскрытия уязвимостей.
  2. Политика раскрытия информации уязвимости, которая включает в себя четкие руководящие принципы в отношении сроков уведомления разработчиков продукта и уведомления сообщества открытой безопасности. Кроме того, официальное изложение политики ранее неизвестных (0-day) уязвимостей и эксплойтов, охватывающих связи с поставщиками, пострадавших, а также с сообществом безопасности.
  3. Набор более специалистов по безопасности для поддержания и расширения базы данных уязвимости и официальное признание вкладчиков и выявления ведущих доноров для поддержки организаций, андеррайтинг свое время и усилия.
  4. Активная интеграция с инструментами уязвимости для упорядочения процесса выявления и установления приоритетов для выявленных уязвимостей. OSVDB поможет разработчикам инструмент для выявления уязвимостей, которые уже не представлены в своих продуктах и обеспечит способ определения высокоприоритетных уязвимости для немедленного внимания.
  5. Создание уязвимости и патч портал управления создать гибкую структуру, которая может предоставить Организации возможность отслеживать и управлять уязвимостей и исправления. OSVDB рассчитывает не только обеспечивают информацию об уязвимости, но и служба, которая может обеспечить специалистов по безопасности способ для отслеживания и обеспечения учета уязвимости в их организации.
  6. Портал рамки обучения OSVDB создаст гибкую структуру, которая может обеспечить подготовку по вопросам безопасности. OSVDB стремится быть хранилищем для подготовки информации, которая поможет обучать конечных пользователей о том, как избежать рисков безопасности и разработчиков о том, как избежать кодирования небезопасных приложений.
  7. Листинг проекта OSVDB порта будет центральное хранилище для всех портов и протоколов. Это будет основой для многих новых функций, таких как ссылки на порты и протоколы для OSVDB уязвимостей. Это затем позволит OSVDB лучше сопоставить правила брандмауэра, оповещения (IDS) системы обнаружения вторжений и потенциальных интеграций для других проектов по обеспечению безопасности.
  8. Долгосрочное спонсорство для предоставления дополнительных услуг и улучшенный набор данных.

Заключение

OSVDB предоставляет важную службу для сообщества безопасности путем сохранения и распространения открытой, доступной базы данных уязвимостей. Как сказал Стюарт Брэнд «информация хочет быть свободным.» Это вдвойне верно для безопасности информации, которая может защитить пользователей сети и организаций от вреда. Проект уже имеет важное значение для мирового сообщества безопасности, и она будет все большее значение по мере его содержание и как он добавляет функции и службы с течением времени.

ФОО, некоммерческая организация, которая осуществляет надзор за операциями OSVDB был setup как зонтичной организации для поддержки проектов с открытым кодом безопасности. Другой проект, который по-прежнему предоставлять значение для сообщества является DataLoss дБ, (DLDOS) в ведении Attrition.org с июля 2005 года. Он будет официально сохранить в качестве текущего проекта под ФОО. DLDOS проекта основная миссия заключается в том, чтобы отслеживать потерю данных и случаев кражи данных - ли подтверждено, неподтвержденные или оспариваемых - не только из Соединенных Штатов, но и во всем мире. По состоянию на 4 июня 2008 года, DLDOS содержит информацию о более чем 1000 нарушений личной идентифицирующей информации покрытия более 330 миллионов записей.

Эта статья основана на официальный документ, озаглавленный OSVDB цели. Оригинальный документ доступен в формате HTML и PDF на веб-сайте OSVDB.

Рекомендуемые ресурсы

Требования и подходы к Архив данных уязвимости компьютера

Совместное использование уязвимости информации с помощью таксономически правильно, веб-совместной базы данных

Интеллектуального анализа данных в базах данных уязвимости

Доля этой статьи:

Цитируете эту статью:

Оцените содержание: 
2 голоса были поданы с средний балл 3 звезды