CVE(Common Vulnerabilities and Exposures)란?
공개적으로 알려진 소프트웨어의 보안취약점을 가리키는 고유 표기이며 컴퓨터 보안 결함 목록들을 지칭할 때, CVE-ID 번호를 사용하며, 미국 국토안보부 산하의 사이버 보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency)의 재정 지원을 받아 MITRE Corporation에서 감독합니다.
CVE ID는 CVE 넘버링 기관(CVE Numbering Authority, CNA)에서 할당하며, 주요 IT 벤더는 물론 보안 기업 및 연구 조직을 대표하는 약 100개의 CNA가 있습니다.
1. CVE-ID 표기법
CVE값은 CVE라는 문자에 취약점이 발견된 년도와 임의의 번호를 붙여 만들어지며, 이렇게 해서 연간 최대 9,999개의 취약점 식별번호를 지원할 수 있었습니다.
하지만, CVE값으로 표현할 수 있는 취약점 개수가 한계에 다다를 수 있기 때문에 CVE편집위원회와 MITRE는 CVE가 10,000개 이상의 취약점에 이름을 매길 수 있도록 자릿수 제한을 풀었으며, 이를 바탕으로 MITRE는 지난 2015년 1월 13일부터 CVE체계를 변경했습니다.
CVE ID("CVE-2019-1234567" 형식)
2. AVAS System(Automated Vulnerability Analysis system)
AVAS는 오픈소스 취약점 분석 자동화시킨 시스템으로 AVAS를 적용한 개발환경에선 지속통합/지속개발(CI/CD) 체계와 연동되어 개발자가 코드를 (프로젝트 저장소에) 커밋하면 자동으로 그 내용에 어떤 CVE가 있고 무슨 패치를 해야하는지 자동으로 찾아 알려줍니다.
만약 패치가 존재하지 않으면 커밋되지 않게 만들어졌으며, 이미 개발되어있는 배포된 CVE들은 모두 데이터베이스에 관리되고 있습니다.
※ 참고
CVE - Common Vulnerabilities and Exposures (CVE)
CVE® is a list of entries—each containing an identification number, a description, and at least one public reference—for publicly known cybersecurity vulnerabilities. CVE Entries are used in numerous cybersecurity products and services from around the
cve.mitre.org
테크놀로지 리더를 위한 글로벌 IT 뉴스 - ITWorld Korea
PC World, Computer World 등 글로벌 미디어의 콘텐츠. 테크놀로지 리더들의 실무 의사결정에 도움이 되는 정보 제공.
www.itworld.co.kr
3. https://developer.tizen.org/
Tizen Developers | An open source, standards-based software platform for multiple device categories.
Tizen Studio is the official IDE for developing web and native applications for Tizen.
developer.tizen.org
'유용한 정보 [Useful Information] > 보안 (Security)' 카테고리의 다른 글
| [U-Information] 02. 봇의 목적과 종류[robots.txt] - 좋은 봇, 나쁜 봇 (Bots Overview, Types-Good Bots, Bad Bots) (0) | 2020.07.07 |
|---|---|
| [U-Security] 01. 미라이 봇넷 (Mirai Botnet) (0) | 2020.05.29 |
