CVE

Standardowy identyfikator publicznych podatności w oprogramowaniu i sprzęcie.

Data dodania: 18-05-2025
Znany również jako:
Common Vulnerabilities and ExposuresIdentyfikator podatności CVE

Definicja CVE

Common Vulnerabilities and Exposures (CVE) to jednorodny schemat identyfikatorów opisujących publicznie ujawnione luki w oprogramowaniu lub sprzęcie. Każdy rekord zawiera krótki opis, referencje techniczne i powiązania do metryk ryzyka, lecz nie obejmuje szczegółowych danych eksploatacyjnych.

Cel i znaczenie

  • Wspólny słownik – CVE zapobiega duplikowaniu nazw luk i ułatwia komunikację między interesariuszami.
  • Podstawa automatyzacji – narzędzia skanujące, systemy SIEM i XDR mapują detekcje na identyfikatory CVE, usprawniając triage.
  • Spójna ocena ryzyka – powiązanie z CVSS w NVD daje porównywalne, liczbowe miary krytyczności.
  • Regulacje i compliance – katalog KEV CISA nakazuje łatki na wybrane CVE w sektorze publicznym USA.

Format identyfikatora CVE

Struktura to CVE-RRRR-NNNN…, gdzie RRRR oznacza rok zgłoszenia, a sekwencja N ma zmienną długość (minimum 4 cyfry). Elastyczne ID eliminuje limit 9 999 rekordów rocznie i pozwala rejestrować setki tysięcy wpisów bez zmiany schematu.

Proces publikacji

  1. Zgłoszenie – podatność trafia do jednego z około 320 CNA (CVE Numbering Authority).
  2. Rezerwacja ID – CNA rezerwuje numer i wstępny opis (status „RESERVED”).
  3. Ujawnienie – po koordynacji producent publikuje poradnik lub łatkę; rekord staje się publiczny.
  4. Synchronizacja z NVD – w ciągu około godziny wpis jest wzbogacany o CVSS i metadane.

Użycie w zarządzaniu podatnościami

  • Zespoły VM i SOC mapują skany na CVE, priorytetyzując według CVSS i kryteriów biznesowych.
  • Narzędzia GRC i audytów wykorzystują CVE do dowodu zgodności z ISO 27001 i NIS2.
  • SBOM (Software Bill of Materials) oznacza komponenty identyfikatorami CVE, ułatwiając ocenę łańcucha dostaw.

Wyzwania i ograniczenia

  1. Tempo wzrostu – od 28 818 CVE w 2023 do ponad 40 000 w 2024 przeciąża proces triage.
  2. Nierówny poziom jakości opisów – krótkie rekordy utrudniają automatyczne korelacje.
  3. Luka finansowa – kontrakt MITRE wygasa w kwietniu 2025, co budzi obawy o ciągłość systemu.
  4. Duplikaty i „splity” – decyzje o łączeniu lub dzieleniu podatności bywają sporne.

Trendy w rozwoju

  • Schema 3.1 (JSON) – bogatszy, maszynowy format rekordów upraszcza integrację z SOAR i XDR.
  • Automatyczne przypisywanie CVSSv4 – planowany pilotaż w 2025.
  • Rozszerzenie sieci CNA w Azji i Ameryce Łacińskiej, aby skrócić czas publikacji lokalnych vendorów.
  • Open-source tooling – dostawcy udostępniają darmowe API do analizy trendów CVE.

Katalog Polskich Firm z Sektora Cyberbezpieczeństwa

Odkryj zaufane polskie firmy specjalizujące się w ochronie cyfrowej. Nasz katalog gromadzi podmioty, które kompleksowo dbają o bezpieczeństwo Twojej organizacji.

Copyright © 2025 CyberKatalog. Wszelkie prawa zastrzeżone.

Projekt i wykonanie: Silesian Solutions

Zespół Silesian Solutions nie świadczy usług doradczych przy wyborze dostawców. Naszą misją jest wspieranie rozwoju polskiego ekosystemu cyberbezpieczeństwa, dlatego tworzymy niezależną przestrzeń, w której decydenci mogą łatwo łączyć się ze zweryfikowanymi firmami oferującymi zaawansowane usługi ochrony cyfrowej.

Zwiększ widoczność online - dodaj firmę

floatingCta.actions