Zgłoś incydent
Zgłoś incydent

Program CVE – pierwszy rok za nami!
01 sierpnia 2024 | CERT Polska | #cve, #cna, #podatność

CERT Polska od roku ma status CNA (CVE Numbering Authority), co pozwala na nadawanie identyfikatorów i publikowanie informacji o podatnościach w programie CVE. W ciągu ostatnich 12 miesięcy nadaliśmy 73 takie identyfikatory podatnościom, także tym odkrytym w ramach naszych działań badawczych.

CVE (Common Vulnerabilities and Exposures) to międzynarodowy program wspierający ujawnianie luk bezpieczeństwa w oprogramowaniu lub sprzęcie komputerowym. Od 1999 r. program ten kataloguje podatności i oznacza je unikalnymi identyfikatorami w postaci “CVE-RRRR-XXXX", które stały się międzynarodowym standardem. Baza CVE jest publiczna i dostępna za darmo dla każdego. Obecnie jest ona podstawą dla organizacji z całego świata w identyfikacji i śledzeniu informacji o nowych lukach bezpieczeństwa.

Każda osoba, która znajdzie podatność, może zgłosić ją do organizacji będącej CNA, czyli CVE Numbering Authority. Są to organizacje, które oceniają zasadność zgłoszenia, koordynują kontakt pomiędzy zaangażowanymi stronami, nadają podatnościom numery i dbają o jakość bazy. Od 1 sierpnia 2023 r. CERT Polska jako jedyna instytucja w kraju i jako 7. CERT w Europie może nadawać numery CVE, które służą identyfikacji i katalogowaniu publicznie ujawnionych podatności.

Proces koordynowanego ujawniania podatności (CVD, ang. Coordinated Vulnerability Disclosure) został wprowadzony do europejskiego porządku prawnego poprzez zapisy dyrektywy NIS 2. Zgodnie z dyrektywą każde państwo członkowskie powinno wyznaczyć jeden ze swoich CSIRT-ów do pełnienia roli koordynatora, występującego w razie potrzeby w charakterze Zaufanego Pośrednika między osobami zgłaszającymi a producentami lub dostawcami produktów lub usług ICT. W obecnym projekcie ustawy implementującej dyrektywę NIS 2 planowane jest, aby tym koordynatorem został nasz zespół.

Warto pamiętać, że koordynowane ujawnianie podatności zazwyczaj jest złożonym i długim procesem, na który składają się: nawiązywanie bezpiecznego kontaktu z właściwym adresatem, usuwanie podatności i dystrybucja poprawionego oprogramowania wśród klientów. Zdarza się, że od zgłoszenia do publikacji informacji mija kilka miesięcy.

Artykuły zawierające informacje o podatnościach ujawnionych przez Zespół CERT Polska są publikowane na stronie cert.pl/cve. Więcej informacji o obsłudze zgłoszeń podatności przez nasz Zespół jest dostępne na stronie cert.pl/cvd.

Udostępnij: