CVE (Common Vulnerabilities and Exposures)
개요
- CVE는 공개적으로 알려진 정보 보안 취약점 및 노출을 식별하기 위한 표준화된 식별자
- 보안 결함에 대한 참조 방법을 제공하여 서로 다른 네트워크 보안 데이터베이스와 도구 간에 데이터를 쉽게 공유
주요 특징
- 목적: IT 전문가가 취약점의 우선순위를 정하고 해결하기 위한 노력을 조율. 시스템을 더욱 안전하게 만드는 데 도움
- 관리: 미국 국토안보부의 국가 사이버 보안 부서의 자금 지원을 받아 MITRE Corporation에서 유지 관리
- 식별자: 각 CVE에는 고유한 ID 번호(예: "CVE-2025-12345"), 취약점에 대한 간략한 설명, 권고 및 보고서에 대한 참조를 할당
- 자격 기준: 모든 취약점에 CVE가 부여되는 것은 아님. 자격을 갖추려면 결함이 독립적으로 수정 가능해야 하고, 영향을 받는 공급업체에서 인정하거나 문서화해야 하며, 단일 코드베이스에만 영향
CVSS와의 관계
- CVE가 취약점을 분류하는 반면, CVSS(Common Vulnerability Scoring System)는 종종 취약점의 위협 수준을 평가
- 0.0에서 10.0까지의 심각도 등급을 할당
related
OKdevTV
