티스토리 뷰

보안/보안_소식

CVE, 소프트웨어의 보안 취약점 표기법

다양한 소식 보안마인드 2017.11.11 05:00

보안과 관련된 기사들을 보면 대부분 'CVE'라는 문자를 한번 쯤 봤을 것이다.


CVE는 1999년도에 처음 만들어졌는데 자릿수 제한 때문에 더이상 구분하지 못하자 2015년에 자릿수 제한을 없앤 새로운 표기법이 나왔다.

이 표기법은 취약점을 가진 소프트웨어, 다른 도구, 저장소 및 서비스 간에 데이터를 공유하는 것이 목표이다.


보안스팟 블로그, 저작권안내

글, 사진 및 이미지 ▶ ⓒ 보안스팟

※ 해당 저작물은 공유할 수 있으나 영리목적과 2차변경을 금지합니다. ※

보안스팟 블로그 CCL

CVE, 소프트웨어 보안 취약점 표기법

CVE 취약점 분석사이트

CVE에 관한 자료 홈페이지


위 사이트는 CVE에 관한 정보를 볼 수 있는 사이트이다.


CVE란 소프트웨어의 보안에 관해 취약한 부분을 번호로 표기한 것으로 구분하기 쉽게 하기 위해 만들어졌다.


이 표기법은 CVE + 취약점이 발견된 년도 + 취약점 고유번호 방식으로 표기한다.

예를들어 CVE-2017-0001라고 표기하면 2017년도에 발견된 0001번 취약점 이라는 뜻을 가진다.


기존에는 4자리의 고유번호를 사용했지만 2015년 자릿수 제한을 없앤 새로운 표기법으로 인해, 만번째 이상 번호의 경우 5자리 이상도 표기할 수 있다.


CVE-CVSS

CVE 디테일 자료 홈페이지


CVE와 같이 볼 수 있는 것이 CVSS이다.

이것은 취약점을 점수로 표기하기 위해 기본 통계에 가치를 부여하여 점수 0~10 가중치를 줄 수 있도록 계산하는 방정식이다.


이 방법은 오픈 프레임 워크의 성격으로 각 위험도를 확인하는데 용이하다.


뉴스에 나오는 CVE관련된 글을 위 사이트에 들어가서 어느 소프트웨어가 취약한지 살펴볼 수 있고 분석할 수 있을 것이다.

댓글
댓글쓰기 폼