Архивы уязвимостей и как их готовить

В мире существует множество баз данных и форматов для хранения уязвимостей. Многие из вас знакомы с такими аббревиатурами, как CVE и CWE. Некоторые слышали о NVD и OWASP, а кто-то, возможно, даже умеет рассчитывать векторы атак по CVSS. Однако в глобальном мире, где программистам важно быстро анализировать свой код и узнавать об уязвимых зависимостях, существует множество баз данных для лучшей агрегации и поиска по существующим проблемам безопасности.

Есть целые комитеты, которые разрабатывают форматы — такие, как OSV — для лучшего представления и репортинга проблем с безопасностью в базах GitHub Advisory, Ubuntu Security Notices, Android Vulnerability Database и других. В итоге очень сложно уследить за всеми новыми аббревиатурами и обновлениями, которые появляются почти ежедневно.

Обобщу знания об уже существующих форматах, схемах и репозиториях для уязвимостей. Поделюсь своим опытом создания нового формата для представления и хранения уязвимостей под названием COSV. Кроме того, расскажу про личный опыт разработки базы данных уязвимостей, построенной на основе этого формата, которая стала стандартом для China Computing Federation (CCF).