为了扫描一下自家的主机,前两天装了greenbone的安全扫描套件,里面集成的扫描器是业界不多见的开源扫描工具:openVAS。
扫描的结果不太理想,只有几个不痛不痒的小发现,没拿到什么太有价值的发现。出报告的时候也碰到了一个难题:如何说明扫描本身是靠谱,结果是有说服力的呢?
这款开源工具里面提到了其feed source,是该社区的,数据类型这是NVD。
CVE/CVSS/NVD/CNNVD都啥?在网上搜罗一番,原来是这样的:
CVE是通用漏洞索引
安全厂商(比如卖杀毒软件),还有微软、谷歌、思科等大厂都会进行漏洞发布,但基本是按照自家体系来命名编号。大家都看得一头雾水,所以组成了一个通用漏洞披露的专门组织,来统一漏洞的编号和摘要。
但这个数据不提供漏洞如何证实、修复等信息。所以不能用来作为打补丁的依据。
NVD是美国漏洞数据库
CVE对这个条目说得很准确: U.S. National Vulnerability Database (NVD)
NVD, operated by National Institute of Standards and Technology (NIST), is a vulnerability database built upon, and fully synchronized with, the CVE List. The CVE List feeds NVD, which then builds upon the information included in CVE Records to provide enhanced information for each record such as fix information, severity scores, and impact ratings.
这个网站的数据是可以是个较好的漏洞数据源,提供好几种feed方式。
CVSS:通用漏洞评分系统
Common Vulnerability Scoring System (CVSS)
负责对漏洞进行评价
CVSS, operated by the Forum of Incident Response and Security Teams (FIRST), is a separate program from CVE that offers a way to score the severity of software vulnerabilities, including those identified by CVE Records. (In general, severity scores for CVE Records are provided by NVD using a CVSS calculator, but some CVE Records on the CVE List include severity ratings if the CNA publishing the record decides to include them.)
CNNVD中国漏洞库
官方介绍如下:
国家信息安全漏洞库,英文名称"China National Vulnerability Database of Information Security "简称"CNNVD",于2009年10月18日正式成立,是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家信息安全漏洞库,面向国家、行业和公众提供灵活多样的信息安全数据服务,为我国信息安全保障提供基础服务。CNNVD是中国信息安全测评中心为切实履行漏洞分析和风险评估职能,在国家专项经费支持下,负责建设运维的国家级信息安全漏洞数据管理平台,旨在为我国信息安全保障提供服务。
也提供数据同步,是XML形式的。
