OSVDB — различия между версиями

Материал из Национальной библиотеки им. Н. Э. Баумана
Строка 1: Строка 1:
 
{{Infobox software
 
{{Infobox software
| name                  = OSVDB
+
| name                  = OSVDB
| logo                  = Файл:OSVDB.png
+
| logo                  = OSVDB.png
| logo size               = 300px
+
| logo size             = 200px
 +
| screenshot            =
 +
| caption                =  
 
| author                = IT специалисты и хакеры
 
| author                = IT специалисты и хакеры
 
| developer              = Open Security Foundation
 
| developer              = Open Security Foundation
| released              = <!-- {{Start date and age|YYYY|MM|DD|df=yes/no}} -->
+
США
| discontinued          =
+
| released              =  
 +
2002 год
 +
2004 год (запущена под новым управлением)
 
| latest release version =  
 
| latest release version =  
| latest release date    =  апрель 2016
+
| latest release date    =   
| status                = прекратило работу  
+
| latest preview version =
| operating system      =  
+
| latest preview date    = 
| platform               =
+
| status                = прекратила работу  
| size                  =  
+
| programming language  = [[C/C++]]
| genre                  = Обеспечение информационной безопасности
+
| operating system      = кросс-платформенная
| license                =  
+
| language               =  
| website               = {{URL|https://blog.osvdb.org/}}
+
| genre                  = База данный уязвимостей
| standard              =
+
С открытым исходным кодом
 +
| license                = MIT, [[open source]]
 +
| website                 = {{URL| https://blog.osvdb.org/}}
 
}}
 
}}
  
'''Open Sourced Vulnerability Database (OSVDB)''' была независимой базой данных уязвимостей с открытым исходным кодом. Название расшифровывается примерно как: "Открытая база данных уязвимостей". Целью проекта было предоставление точной, подробной, актуальной и объективной технической информации об уязвимостях безопасности. Проект способствовал расширению сотрудничества между компаниями и частными лицами. Девиз базы данных: «Все уязвимо».  <ref  group="Источник"> Devrex // Devrex. URL: https://devrex.se (дата обращения: 18.06.2020).</ref>  Его цель состояла в том, чтобы предоставить точную, объективную информацию об уязвимостях в компьютерном оборудовании. Ядром OSVDB была реляционная база данных, которая связывала различную информацию об уязвимостях безопасности в единый открытый источник данных безопасности с перекрестными ссылками.  Классификация создана тремя некоммерческими организациями. Двести волонтеров со всего мира активно участвовали в ее наполнении. Среди прочего присутствовали: локация эксплуатации (сетевой доступ/локальный доступ) и импакт (ущерб от уязвимости, воздействие на какую-либо часть целевой информационной системы). По состоянию на декабрь 2013 года база данных каталогизировала более 100 000 уязвимостей. По состоянию на 2018 год доступная по платной подписке в виде сервиса база VulnDB <ref  group="Источник"> Blog Developer // VulnDB URL: https://vulndb.cyberriskanalytics.com (дата обращения: 18.06.2020).</ref>  содержит информацию о 176 тыс. обнаруженных уязвимостях (включая почти 60 тыс. записей об уязвимостях, отсутствующих в базах CVE List и NVD), а поддерживающие базу специалисты отслеживают появление новых уязвимостей для 19 тыс. современных программных продуктов и 2 тыс. популярных библиотечных компонентов. Одним из возможных предназначений предлагаемого сервиса может быть риск-менеджмент и оценка уровня защищенности компьютерных сетей организаций.
+
'''Open Sourced Vulnerability Database (OSVDB)''' была независимой базой данных уязвимостей с открытым исходным кодом. Название расшифровывается примерно как: "Открытая база данных уязвимостей". Целью проекта было предоставление точной, подробной, актуальной и объективной технической информации об уязвимостях безопасности. Проект способствовал расширению сотрудничества между компаниями и частными лицами. Девиз базы данных: «Все уязвимо».  <ref  group="Источник"> Biased software vulnerability stats praising Microsoft were 101% misleading. URL: https://www.csoonline.com/article/2226625/biased-software-vulnerability-stats-praising-microsoft-were-101--misleading.html (дата обращения: 18.06.2020).</ref>  Его цель состояла в том, чтобы предоставить точную, объективную информацию об уязвимостях в компьютерном оборудовании. Ядром OSVDB была реляционная база данных, которая связывала различную информацию об уязвимостях безопасности в единый открытый источник данных безопасности с перекрестными ссылками.  Классификация создана тремя некоммерческими организациями. Двести волонтеров со всего мира активно участвовали в ее наполнении. Среди прочего присутствовали: локация эксплуатации (сетевой доступ/локальный доступ) и импакт (ущерб от уязвимости, воздействие на какую-либо часть целевой информационной системы). По состоянию на декабрь 2013 года база данных каталогизировала более 100 000 уязвимостей. По состоянию на 2018 год доступная по платной подписке в виде сервиса база VulnDB <ref  group="Источник">Blog Developer // VulnDB. URL: https://vulndb.cyberriskanalytics.com (дата обращения: 18.06.2020).</ref>  содержит информацию о 176 тыс. обнаруженных уязвимостях (включая почти 60 тыс. записей об уязвимостях, отсутствующих в базах CVE List и NVD), а поддерживающие базу специалисты отслеживают появление новых уязвимостей для 19 тыс. современных программных продуктов и 2 тыс. популярных библиотечных компонентов. Одним из возможных предназначений предлагаемого сервиса может быть риск-менеджмент и оценка уровня защищенности компьютерных сетей организаций.
  
  
 
== История ==
 
== История ==
Предложение о создании проекта который представлял собой открытую базу данных уязвимостей поступило в августе 2002 года на конференциях Blackhat и DEF CON несколькими известными представителями отрасли (включая H.D. Moore <ref  group="Источник"> H.D. Moore URL: https://en.wikipedia.org/wiki/H._D._Moore (дата обращения: 18.06.2020).</ref> , rain.forest.puppy и других). Под  новым управлением, База OSVDB была запущена в 2004 году,  строилась вокруг ключевой идеи: организовать такой реестр уязвимостей, который содержал бы полную и подробную информацию обо всех обнаруженных уязвимостях, и поддержка которого не была бы аффилирована ни с одним из производителей программного обеспечения.
+
Предложение о создании проекта который представлял собой открытую базу данных уязвимостей поступило в августе 2002 года на конференциях Blackhat и DEF CON несколькими известными представителями отрасли (включая H.D. Moore <ref  group="Источник">H.D. Moore. URL: https://en.wikipedia.org/wiki/H._D._Moore (дата обращения: 18.06.2020).</ref> , rain.forest.puppy и других). Под  новым управлением, База OSVDB была запущена в 2004 году,  строилась вокруг ключевой идеи: организовать такой реестр уязвимостей, который содержал бы полную и подробную информацию обо всех обнаруженных уязвимостях, и поддержка которого не была бы аффилирована ни с одним из производителей программного обеспечения.
 
Одним из косвенных результатов деятельности коллектива исследователей, причастных к развитию базы OSVDB, стало основание в 2005 году организации Open Security Foundation. Ее специалисты занимались самостоятельным поиском уязвимостей и агрегацией публично доступной из различных источников информации об обнаруженных уязвимостях или сценариях их эксплуатации. Новые уязвимости специалисты регистрировали в базе, производили их классификацию и валидацию. При этом уточнялись списки уязвимого ПО и сведения о возможных способах устранения уязвимостей. В таком виде каждая запись, снабженная соответствующими ссылками на доступные источники информации, оставалась в базе данных.
 
Одним из косвенных результатов деятельности коллектива исследователей, причастных к развитию базы OSVDB, стало основание в 2005 году организации Open Security Foundation. Ее специалисты занимались самостоятельным поиском уязвимостей и агрегацией публично доступной из различных источников информации об обнаруженных уязвимостях или сценариях их эксплуатации. Новые уязвимости специалисты регистрировали в базе, производили их классификацию и валидацию. При этом уточнялись списки уязвимого ПО и сведения о возможных способах устранения уязвимостей. В таком виде каждая запись, снабженная соответствующими ссылками на доступные источники информации, оставалась в базе данных.
Авторы OSVDB приняли решение о закрытии базы данных, которое произошло в 2016 <ref  group="Источник"> Общий обзор реестров и классификаций уязвимостей URL:https://safe-surf.ru/specialists/article/5228/607311/ (дата обращения: 18.06.2020).</ref> году. В настоящее время продолжается эпизодическая поддержка блога проекта <ref  group="Источник"> Blog Developer / VulnDB URL: https://vulndb.cyberriskanalytics.com (дата обращения: 18.06.2020).</ref> , а сотрудничество организации Open Security Foundation и коммерческой компании Risk Based Security привело к созданию каталога уязвимостей VulnDB, как коммерческой реинкарнации OSVDB.
+
Авторы OSVDB приняли решение о закрытии базы данных, которое произошло в 2016 <ref  group="Источник"> Общий обзор реестров и классификаций уязвимостей. URL:https://safe-surf.ru/specialists/article/5228/607311/ (дата обращения: 18.06.2020). </ref> году. В настоящее время продолжается эпизодическая поддержка блога проекта, а сотрудничество организации Open Security Foundation и коммерческой компании Risk Based Security привело к созданию каталога уязвимостей VulnDB, как коммерческой реинкарнации OSVDB.
  
 
== Описание OSVDB ==
 
== Описание OSVDB ==
Строка 53: Строка 59:
  
 
== VulnDB  (Vulnerability Intelligence) ==
 
== VulnDB  (Vulnerability Intelligence) ==
В настоящее время  на базе OSVDB был создан её коммерческий  аналог под названием VulnDB<ref  group="Источник"> About VulnDB URL:https://vulndb.cyberriskanalytics.com/ (дата обращения: 18.06.2020).</ref>
+
В настоящее время  на базе OSVDB был создан её коммерческий  аналог под названием VulnDB
 
Инструмент предлагает безопасность на основе рисков для всестороннего анализа уязвимостей через постоянно обновляемый поток данных.  
 
Инструмент предлагает безопасность на основе рисков для всестороннего анализа уязвимостей через постоянно обновляемый поток данных.  
 
На основе самой обширной и полной базы данных об уязвимостях  VulnDB позволяет организациям запрашивать самую последнюю информацию об уязвимостях безопасности ПО.
 
На основе самой обширной и полной базы данных об уязвимостях  VulnDB позволяет организациям запрашивать самую последнюю информацию об уязвимостях безопасности ПО.

Версия 11:28, 22 июня 2020

OSVDB
OSVDB.png
Создатели: IT специалисты и хакеры
Разработчики:

Open Security Foundation

США
Выпущена:

2002 год

2004 год (запущена под новым управлением)
Состояние разработки: прекратила работу
Написана на: C/C++
Операционная система: кросс-платформенная
Тип ПО:

База данный уязвимостей

С открытым исходным кодом
Лицензия: MIT, open source
Веб-сайт blog.osvdb.org

Open Sourced Vulnerability Database (OSVDB) была независимой базой данных уязвимостей с открытым исходным кодом. Название расшифровывается примерно как: "Открытая база данных уязвимостей". Целью проекта было предоставление точной, подробной, актуальной и объективной технической информации об уязвимостях безопасности. Проект способствовал расширению сотрудничества между компаниями и частными лицами. Девиз базы данных: «Все уязвимо». [Источник 1] Его цель состояла в том, чтобы предоставить точную, объективную информацию об уязвимостях в компьютерном оборудовании. Ядром OSVDB была реляционная база данных, которая связывала различную информацию об уязвимостях безопасности в единый открытый источник данных безопасности с перекрестными ссылками. Классификация создана тремя некоммерческими организациями. Двести волонтеров со всего мира активно участвовали в ее наполнении. Среди прочего присутствовали: локация эксплуатации (сетевой доступ/локальный доступ) и импакт (ущерб от уязвимости, воздействие на какую-либо часть целевой информационной системы). По состоянию на декабрь 2013 года база данных каталогизировала более 100 000 уязвимостей. По состоянию на 2018 год доступная по платной подписке в виде сервиса база VulnDB [Источник 2] содержит информацию о 176 тыс. обнаруженных уязвимостях (включая почти 60 тыс. записей об уязвимостях, отсутствующих в базах CVE List и NVD), а поддерживающие базу специалисты отслеживают появление новых уязвимостей для 19 тыс. современных программных продуктов и 2 тыс. популярных библиотечных компонентов. Одним из возможных предназначений предлагаемого сервиса может быть риск-менеджмент и оценка уровня защищенности компьютерных сетей организаций.


История

Предложение о создании проекта который представлял собой открытую базу данных уязвимостей поступило в августе 2002 года на конференциях Blackhat и DEF CON несколькими известными представителями отрасли (включая H.D. Moore [Источник 3] , rain.forest.puppy и других). Под новым управлением, База OSVDB была запущена в 2004 году, строилась вокруг ключевой идеи: организовать такой реестр уязвимостей, который содержал бы полную и подробную информацию обо всех обнаруженных уязвимостях, и поддержка которого не была бы аффилирована ни с одним из производителей программного обеспечения. Одним из косвенных результатов деятельности коллектива исследователей, причастных к развитию базы OSVDB, стало основание в 2005 году организации Open Security Foundation. Ее специалисты занимались самостоятельным поиском уязвимостей и агрегацией публично доступной из различных источников информации об обнаруженных уязвимостях или сценариях их эксплуатации. Новые уязвимости специалисты регистрировали в базе, производили их классификацию и валидацию. При этом уточнялись списки уязвимого ПО и сведения о возможных способах устранения уязвимостей. В таком виде каждая запись, снабженная соответствующими ссылками на доступные источники информации, оставалась в базе данных. Авторы OSVDB приняли решение о закрытии базы данных, которое произошло в 2016 [Источник 4] году. В настоящее время продолжается эпизодическая поддержка блога проекта, а сотрудничество организации Open Security Foundation и коммерческой компании Risk Based Security привело к созданию каталога уязвимостей VulnDB, как коммерческой реинкарнации OSVDB.

Описание OSVDB

На первых этапах работы отчеты об уязвимостях, рекомендации и эксплойты к ним, размещенные в различных списках безопасности, входили в базу данных в качетсве новой записи, которая содержала только заголовок и ссылки на записи той же уязвимости только в других списках безопасности. Но при этом этапе страница новой записи уже не содержала подробного описания уязвимости. После изучения, анализа уточнения информации новой записи добавлялись описания уязвимости, способы решения , а так же замечания по тестированию. Затем эти записи рассматривались другими членами OSVDB, если была необходимость дополнительно уточнялись, а затем делались стабильными. Как только он стал стабильным, подробная информация появилась на странице для записи.

Гланая страница web-сайта OSVDB

По состоянию на январь 2012 года запись об уязвимости выполнялась штатными сотрудниками фонда OSF. Каждая новая запись включала заголовок, описание, решение (если известно), данные классификации, ссылки, продукты и кредитоспособность.


Авторы и соавторы

H.D. Moore

В команду основателей проекта входили знаменитые IT специалисты и хакеры, такие как:

  • H.D. Moore
  • rain.forest.puppy

В последующем некоторые восторженные хакеры добровольно поддерживали проект OSVDB. Некоторые из активных участников следующие:

  • Брайан Мартин (главный операционный директор OSF, модератор)
  • Джейк Коунс (генеральный директор OSF, модератор)

Другие добровольцы, которые помогали в прошлом:

  • Крис Сулло (Модератор)
  • Стив Торнио (Модератор)
  • Трэвис Шак (Mangler)
  • Сусам Пал (Mangler)
  • Кристиан Сейферт (Mangler)
  • Zain Memon (Codebase)

Прекращение работы OSVDB

5 апреля 2016 года проект Open Sourced Vulnerability Database (OSVDB) прекратил свою работу. OSVDB была отключена одновременно с появлением официального сообщения в блоге разработчиков. Проект «убило» то обстоятельство, что многие компании не сочли нужным платить за OSVDB, тогда как контент можно получить и бесплатно. Компаниям предлагалось приобрести лицензию для полноценного использования OSVDB, однако многие предпочли обойтись без этого. Так, в 2014 году McAfee и испанскую фирму S21Sec уличили в создании скриптов, которые автоматически извлекали данные об уязвимостях из Базы. Разумеется, совершенно бесплатно. Тогда обе компании извинились за случившееся и пообещали, что подобное не повторится. Но как показала практика не только они предпочитали тихо воровать данные у OSVDB.

VulnDB (Vulnerability Intelligence)

В настоящее время на базе OSVDB был создан её коммерческий аналог под названием VulnDB Инструмент предлагает безопасность на основе рисков для всестороннего анализа уязвимостей через постоянно обновляемый поток данных. На основе самой обширной и полной базы данных об уязвимостях VulnDB позволяет организациям запрашивать самую последнюю информацию об уязвимостях безопасности ПО.

Главная страница web-сайта VulnDB

Предложение подписки на фид данных VulnDB предоставляет организациям своевременную, точную и полную информацию об уязвимостях [Источник 5]

  1. Сторонние библиотеки — выявлено и отслежено более 2000 программных библиотек
  2. RESTful API — Возможность простой интеграции данных с настраиваемым CSV-экспортом и использованием гибкого RESTful AP.
  3. Оповещение по электронной почте — Возможность настроить оповещения по электронной почте для нескольких адресов электронной почты по поставщику, продукту, версии и критериям поиска
  4. Исследовательская группа — Их команда проводит дальнейший углубленный анализ отдельных уязвимостей, чтобы предоставить клиентам наиболее подробную информацию о причине и воздействии.
  5. CVE Mapping — ~ 100% сопоставление с CVE / NVD
  6. Своевременные оповещения — 24 × 365 Мониторинг и оповещения
  7. Оценки риска — Расширенная система классификации и наши собственные метрики CVSSv2, а также VTEM (временная шкала уязвимости и метрики воздействия).
  8. Технический анализ — подробный анализ уязвимостей
  9. Подробная информация — более 70 полей данных, включая информацию об источниках уязвимости, подробные ссылки и ссылки на решения
  10. Анализ воздействия
  11. Руководство по смягчению последствий
  12. Ссылки на патчи безопасности
  13. Ссылки на эксплойты
  14. Оценка поставщиков и продуктов

Фонд Open Security

Одним из косвенных результатов деятельности коллектива исследователей, причастных к развитию базы OSVDB, стало основание в 2005 году организации Open Security Foundation. Фонд задумывался в качестве организации поддержки для открытого исходного кода[Источник 6] проектов в области безопасности. Специалисты фонда занимались самостоятельным поиском уязвимостей и агрегацией публично доступной из различных источников информации об обнаруженных уязвимостях или сценариях их эксплуатации. Новые уязвимости специалисты регистрировали в базе, производили их классификацию и валидацию. При этом уточнялись списки уязвимого ПО и сведения о возможных способах устранения уязвимостей. В таком виде каждая запись, снабженная соответствующими ссылками на доступные источники информации, оставалась в базе данных.

Идею создания фонда Open Security в начале 2004 года предложили Крис Салло , Брайан Мартин, и Джейк Каунс. В апреле 2005 года на территории США был получен официальный некоммерческий статус.

Источники


Ошибка цитирования Для существующих тегов <ref> группы «Источник» не найдено соответствующего тега <references group="Источник"/> или пропущен закрывающий тег </ref>