# Что такое CVE

### Что такое CVE

CVE или Common Vulnerabilities and Exposures — это список известных уязвимостей и дефектов безопасности. По сути CVE — это идентификатор или серийный номер.

У уязвимостей в CVE есть несколько частей описания. Давайте разберем на примере. Возьмем нашумевшую уязвимость CISCO: CVE-2023-20198.\ <br>

| CVE                                                              | 2023                                    | 20198                                                                                                                                                                              |
| ---------------------------------------------------------------- | --------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| В списке CVE всегда ставят этот префикс. Он не будет отличаться. | Год, когда уязвимость появилась в базе. | <p>Порядковый номер, присвоенный уязвимости. Обычно они идут по порядку.<br><br>То есть следующая уязвимость по счёту — CVE-2023-20199. Она, если что, тоже принадлежит CISCO.</p> |

\
На различных ресурсах, что используют CVE кроме номера дают и детали: описание уязвимости, ее особенности, оценка опасности по шкале  CVSS (мы о ней [писали](https://notes.kraken-security.ru/chto-takoe-cvss/) ранее).&#x20;

### Зачем нужен СVE

Здесь немного истории: до 1999 года была проблема с описанием уязвимостей. У различных компаний по кибербезопасности были свои базы данных и свои методики описания. MITRE Corporation, американская некоммерческая организация в области системной инженерии, создала открытую базу, по которой удобно искать и описывать различные угрозы.&#x20;

Эту методику приняли за стандарт, упростив описание уязвимостей и передачу информации между различными инструментами, сервисами и базами.&#x20;

### Как искать CVE&#x20;

Есть несколько баз, которые помогут их искать: вот [поисковик от MITRE](https://cve.mitre.org/cve/search_cve_list.html), есть еще удобная [база Vulners](https://vulners.com/). Просто вводите идентификатор и онлайн-сервисы покажут основную информацию об уязвимости: описание, таймлайн обнаружения и особенности.

### Как уязвимость попадает в базу СVE

Есть три базовых критерия:&#x20;

1\. Уязвимость должна быть исправлена.

2\. Разработчик, в продукте которого найдена уязвимость, должен признать её негативное последствие для безопасности.

3\. Угроза затрагивает только одну кодовую базу. Если, например, уязвимость связана с open-source библиотеками, CVE назначают на каждый затронутый продукт.&#x20;

### У всех ли уязвимостей есть номера CVE

На самом деле нет. Некоторые уязвимости могут временно отсутствовать в базах. Причины две:

1\. Уязвимость новая, и у MITRE в системе CVE нет события для этой уязвимости.\
2\. Уязвимость не связана ни с какой уязвимостью в данный момент в системе CVE.\
\
Может быть и такое, что угроза не появиться в базе, по причине того, что угроза в принципе не связана с уязвимостью или подверженностью воздействию.&#x20;