View article

Постановка проблемы: ежегодно количество обнаруживаемых уязвимостей в программных и аппаратных продуктах остается на высоком уровне. Вместе с этим несогласованная работа компаний и организаций, занимающихся поиском и классификацией уязвимостей, приводит к уменьшению эффективности использования их баз уязвимостей в системах анализа защищенности. Целью работы является анализ открытых баз уязвимостей и оценка возможности их применения в системах анализа защищенности компьютерных сетей, в том числе получение статистики и выявление общих тенденций обнаружения уязвимостей в программно-аппаратном обеспечении. Результаты: проведены разбор и сравнение форматов открытых баз уязвимостей, таких как CVE, NVD, X-Force и OSVDB, а также форматов словарей продуктов и показателей, таких как CPE и CVSS, характеризующих уязвимости. Собрана статистика обнаруженных уязвимостей в распространенных операционных системах и веб-браузерах, получено распределение уязвимых продуктов основных разработчиков программного обеспечения за последние 10 лет. Выявлены общие тенденции обнаружения, опубликования и устранения уязвимостей в наиболее используемых продуктах различных производителей программного обеспечения (Microsoft, Google, Oracle, Apple и др.). Практическая значимость: анализ форматов представления уязвимостей в открытых базах дает возможность выделить наиболее значимые атрибуты, что позволит в дальнейшем решить задачу интеграции …