Common Vulnerabilities and Exposures

Wikipediasta
Siirry navigaatioon Siirry hakuun
Logo

Common Vulnerabilities and Exposures (CVE) on tietoturva-aukkojen raportointi- ja dokumentointiprojekti ja -järjestelmä, jossa julkaistaan ja luetteloidaan julkisesti tunnettuja tietoturvahaavoittuvuuksia.

CVE-järjestelmä perustettiin virallisesti syyskuussa 1993 ja sitä ylläpitää Yhdysvaltain National Cybersecurity FFRDC ja sen toiminnasta vastaa MITRE Corporation. Järjestelmän rahoittaa Yhdysvaltain kansallinen kyberturvallisuuden ja infrastruktuurin turvallisuusvirasto (Cybersecurity and Infrastructure Security Agency, CISA) Yhdysvaltain kotimaan turvallisuusvirastossa.

CVE-järjestelmässä haavoittuvuuksille annetaan CVE-numerot ja ne on listattu Mitren lisäksi Yhdysvaltain kansallisessa haavoittuvuustietokannassa (National Vulnerability Database).

CVE-tunnukset määrittelevät jokaiselle haavoittuvuudelle ainutkertaisen virallisen nimen eli CVE-tunnuksen (”CVE-numero”, ”CVE-ID” tai vain ”CVE”). Tunnukset antaa CVE-numerointiviranomainen (CVE Numbering Authority, CNA).

CVE-järjestelmä on osoittautunut tietyissä tapauksissa hyödylliseksi, mutta samalla on ilmennyt haittapuolia. CVE helpottaa esimerkiksi kun yleisesti käytetyssä ohjelmakirjastossa ilmenee ongelma, joka on päivitettävä useisiin paikkoihin. Samalla siinä on ongelmakohtia, jotka johtuvat sisäisistä käytännöistä, henkilöt pyrkivät käyttämään sitä oman ansioluettelonsa pidentämiseen, vaikeudet perua virheelliset tiedot, CVE ei toimi pitkään jatkuville ongelmille kuten Spectre ja toisinaan CVE:n julkaisu on myöhässä asian korjaamisesta johtaen negatiivisiin korjausaikoihin. Myös on tapauksia, joissa samassa päivityksessä julkaistaan "korjaus" ja sen poistaminen samaan aikaan.[1][2] Eräät avoimen lähdekoodin projektit pyrkivät korjaamaan ongelmaa ottamalla itse vastuun CVE-numeroinneista ja kuvauksista.[3]

  1. Greg Kroah-Hartman: CVEs are dead, long live the CVE! - GitHub (PDF) raw.githubusercontent.com. Viitattu 14.2.2024. (englanniksi)
  2. Greg Kroah-Hartman: CVEs are dead, long live the CVE! kernel-recipes.org. Viitattu 14.2.2024. (englanniksi)
  3. Greg Kroah-Hartman: Linux is a CNA kroah.com. 13.2.2024. Viitattu 14.2.2024. (englanniksi)