9 Марта, 2013

Гадание на National Vulnerability Database

Александр Леонов
В Sourcefire попарсили xml-ки с http://nvd.nist.gov (и еще зачем-то http://cve.mitre.org) , построили красивые графики и пытаются делать из них какие-то выводы. Более того, рассказывают об этом на RSA. Зрелище более чем уморительное.
Публикация: http://www.sourcefire.com/25yearsofvulns
Pdf: https://ae.rsaconference.com/US13/connect/fileDownload/session/6981E2280C59E2E5DABB93D4BFD921C4/BR-F41.pdf Частичный перевод на OpenNews: http://www.opennet.ru/opennews/art.shtml?num=36287

Для тех кто не в курсе: далеко не для всех известных уязвимостей заводятся CVE, CVSS субъективная вещь и вручную проставляется, CVSS Temporal Score в базе NVD не проставляется вовсе, CWE далеко не для всех уязвимостей из NVD проставлена, у одной CVE может быть много CWE и многое многое другое.
Представленные графики в какой-то мере характеризуют положение дел в реестре CVE: какие продукты более популярны у исследователей, какие вендоры систематически занимаются поиском уязвимостей в собственных продуктах. Но делать графики типа "Top 10 Vulnerable Products", подразумевая, что чем меньше заведено CVE, тем лучше - это просто верх глупости и непрофессионализма.

upd.
Если в ОС нашли большое количество уязвимостей, это не говорит ни о том, что она "дырява", ни о том, что в ней все ошибки были исправлены. Это говорит только о том, что уязвимости искали, что узвимости нашли, что информацию об уязвимостях опубликовали. Из этих данных непонятно кто искал, зачем искал, как быстро вендор выпустил патч. По моему мнению это может свидетельствовать об определенной популярности продукта (если уязвимости в реестр CVE добавляют сторонние исследователи) или об ответственности вендора перед пользователями (если уязвимости в реестр CVE добавляет сам вендор).
"Дырявость" можно оценить по количеству известных уязвимостей, которые не закрыты патчами вендора в настоящий момент и, соответственно, можно проследить изменение этой величины. Можно также измерить сколько в среднем проходит времени с момента публикации информации об уязвимости до момента появления патча вендора. Такие метрики будут больше похожи на правду.
или введите имя

CAPTCHA