CVE, CPE, CWE: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 1: | Zeile 1: | ||
| + | =Kurzinfo: CVE, CPE, CWE= | ||
| + | |||
=CVE (Common Vulnerabilities and Exposures)= | =CVE (Common Vulnerabilities and Exposures)= | ||
*Internationales Referenzsystem für öffentlich bekannte Sicherheitslücken | *Internationales Referenzsystem für öffentlich bekannte Sicherheitslücken | ||
*Eindeutige Kennung je Schwachstelle (z. B. CVE-2025-12345) | *Eindeutige Kennung je Schwachstelle (z. B. CVE-2025-12345) | ||
*Standard für Berichte, Sicherheitsscanner und Advisories | *Standard für Berichte, Sicherheitsscanner und Advisories | ||
| − | *Jährliche Durchnummerierung | + | *Jährliche Durchnummerierung |
| + | *Herausgegeben und gepflegt von der MITRE Corporation | ||
| + | *Neue Einträge werden durch "CVE Numbering Authorities" (CNAs) vergeben (z. B. Hersteller, Sicherheitsfirmen) | ||
| + | |||
=CPE (Common Platform Enumeration)= | =CPE (Common Platform Enumeration)= | ||
*Standardisiertes Namensschema für IT-Produkte und -Versionen | *Standardisiertes Namensschema für IT-Produkte und -Versionen | ||
*Eindeutige Identifikation von Systemen/Software (z. B. cpe:/a:microsoft:office:16) | *Eindeutige Identifikation von Systemen/Software (z. B. cpe:/a:microsoft:office:16) | ||
*Häufig in Kombination mit CVEs zur Zuordnung betroffener Produkte | *Häufig in Kombination mit CVEs zur Zuordnung betroffener Produkte | ||
| + | *Entwickelt von der MITRE Corporation, gepflegt und standardisiert durch NIST | ||
| + | *Wird u. a. in der National Vulnerability Database (NVD) eingesetzt | ||
=CWE (Common Weakness Enumeration)= | =CWE (Common Weakness Enumeration)= | ||
| Zeile 13: | Zeile 20: | ||
*Eindeutige Kennung je Schwachstellentyp (z. B. CWE-120 für Buffer Overflow) | *Eindeutige Kennung je Schwachstellentyp (z. B. CWE-120 für Buffer Overflow) | ||
*Hilft Entwicklern/Analysten bei Ursachenanalyse und Prävention | *Hilft Entwicklern/Analysten bei Ursachenanalyse und Prävention | ||
| + | *Entwickelt von der MITRE Corporation mit Unterstützung von Industrie, Forschung und Behörden | ||
| + | *Regelmäßige Pflege und Erweiterung durch ein internationales Community-Board | ||
=Zusammenhang= | =Zusammenhang= | ||
| − | *CWE beschreibt den generischen Schwachstellen-Typ | + | *CWE beschreibt den generischen Schwachstellen-Typ |
*CVE beschreibt die konkrete Schwachstelle | *CVE beschreibt die konkrete Schwachstelle | ||
*CPE beschreibt das betroffene Produkt | *CPE beschreibt das betroffene Produkt | ||
Version vom 11. September 2025, 06:19 Uhr
Kurzinfo: CVE, CPE, CWE
CVE (Common Vulnerabilities and Exposures)
- Internationales Referenzsystem für öffentlich bekannte Sicherheitslücken
- Eindeutige Kennung je Schwachstelle (z. B. CVE-2025-12345)
- Standard für Berichte, Sicherheitsscanner und Advisories
- Jährliche Durchnummerierung
- Herausgegeben und gepflegt von der MITRE Corporation
- Neue Einträge werden durch "CVE Numbering Authorities" (CNAs) vergeben (z. B. Hersteller, Sicherheitsfirmen)
CPE (Common Platform Enumeration)
- Standardisiertes Namensschema für IT-Produkte und -Versionen
- Eindeutige Identifikation von Systemen/Software (z. B. cpe:/a:microsoft:office:16)
- Häufig in Kombination mit CVEs zur Zuordnung betroffener Produkte
- Entwickelt von der MITRE Corporation, gepflegt und standardisiert durch NIST
- Wird u. a. in der National Vulnerability Database (NVD) eingesetzt
CWE (Common Weakness Enumeration)
- Kategorisierung typischer Software-Schwachstellen
- Eindeutige Kennung je Schwachstellentyp (z. B. CWE-120 für Buffer Overflow)
- Hilft Entwicklern/Analysten bei Ursachenanalyse und Prävention
- Entwickelt von der MITRE Corporation mit Unterstützung von Industrie, Forschung und Behörden
- Regelmäßige Pflege und Erweiterung durch ein internationales Community-Board
Zusammenhang
- CWE beschreibt den generischen Schwachstellen-Typ
- CVE beschreibt die konkrete Schwachstelle
- CPE beschreibt das betroffene Produkt