Mühazirə. Boşluqların analizi Boşluqların idarə edilməsinin həyat dövrü. Boşluqlar üzrə məlumat

kifayətdir. Əgər skanerlər boşluqları adlandırmaq üçün müxtəlif işarələmə sistemindən istifadə 
edirsə, onların müqayisəsi məsələsi olduqca çətinləşir.
Hazırda şəbəkə skanerləri istehsalçılarının çoxu, o cümlədən Symantec, NAI, ISS, Cisco və 
başqaları öz məhsullarında boşluqları adlandırmağın standart üsulu kimi CVE-ni dəstəklədiklərini 
bəyan edirlər.
CVE indeksinin (CVE Entry) alınması prosesi boşluğun aşkarlanmasından başlayır. Boşluğa 
CVE namizədi statusu və müvafiq nömrə (CVE candidate number) verilir. Nömrədə il və unikal 
indeks göstərilir, məsələn, CAN-199-0067. CVE namizədi qısa təsvir edilir və müvafiq istinadlarla 
əlaqələndirilir. CVE Editorial Board tərəfindən namizədin müzakirəsi keçirilir və ona CVE 
indeksinin verilib-verilməməsi haqqında qərar qəbul edilir. Namizəd təsdiqlənəndən sonra “CAN” 
önlüyü “CVE” ilə əvəzlənir. 
CVE indeksi aldıqdan sonra məlumat saytda yerləşdirilir, CVE indeksinə əsasən boşluğun 
təsvirini və onun aradan qaldırılması haqqında məlumatları tez tapmaq olar. 
OSVDB verilənlər bazası (
http://osvdb.org/
). 2002-ci ilin avqustunda Black Hat və Defcon 
konfranslarında proqram və aparat təminatındakı boşluqlar haqqında məlumatlar yayımlayan 
müstəqil və açıq mənbə kimi Open Source Vulnerability DataBase (OSVDB) verilənlər bazasının 
yaradılması qərarlaşdırıldı. 
Hazırda OSVDB layihəsi çərçivəsində 200-ə yaxın könüllü mütəxəssis tərəfindən boşluqlar 
üzrə mərkəzləşdirilmiş verilənlər bazası yaradılıb, bazaya giriş açıqdır və axtarış vasitələri var. 
OSVDB mümkün qədər çox məhsul əhatə etməyə çalışır. OSVDB verilənlər bazasını müvafiq 
OSVDB-lisenziya imzalamaqla pulsuz yükləmək olar. Verilənlər bazasında hər bir boşluğa unikal 
OSVBD ID nömrəsi verilir. 

Yüklə 0,62 Mb.

Dostları ilə paylaş: