Доклад

Архивы уязвимостей и как их готовить

  • На русском языке
Презентация pdf

В мире существует множество баз данных и форматов для хранения уязвимостей. Многие из вас знакомы с такими аббревиатурами, как CVE и CWE. Некоторые слышали о NVD и OWASP, а кто-то, возможно, даже умеет рассчитывать векторы атак по CVSS. Однако в глобальном мире, где программистам важно быстро анализировать свой код и узнавать об уязвимых зависимостях, существует множество баз данных для лучшей агрегации и поиска по существующим проблемам безопасности.

Есть целые комитеты, которые разрабатывают форматы — такие, как OSV — для лучшего представления и репортинга проблем с безопасностью в базах GitHub Advisory, Ubuntu Security Notices, Android Vulnerability Database и других. В итоге очень сложно уследить за всеми новыми аббревиатурами и обновлениями, которые появляются почти ежедневно.

Обобщу знания об уже существующих форматах, схемах и репозиториях для уязвимостей. Поделюсь своим опытом создания нового формата для представления и хранения уязвимостей под названием COSV. Кроме того, расскажу про личный опыт разработки базы данных уязвимостей, построенной на основе этого формата, которая стала стандартом для China Computing Federation (CCF).

Спикеры

Приглашенные эксперты

Расписание