В ходе исследования базы NVD установлено, что 82,77% уязвимостей зафиксированы в программном обеспечении, 12,28% — операционным системам и 3,59% — аппаратному обеспечению. Случаи, когда уязвимость характерна для комбинации продуктов (например операционной системы и программного обеспечения), встречаются в 7,95% среди всех записей об уязвимостях.
Рисунок 5 – статистика принадлежности записей по типу уязвимых продуктов
База уязвимостей NVD, в отличие от других баз, использует перечисление уязвимых платформ (CPE – Common Platform Enumeration). Данный перечень является одним из лидеров, среди аналогичных словарей, в т.ч. по количеству записей, собственного формата имен. Тем не менее, данный формат данных содержит в себе следующие недостатки:
Неоднозначность значений разных полей – большое количество значений различных полей пересекаются, что приводит к неточному распознаванию неформатированных имен;
Недостаточное использование записей данного словаря базой NVD
Рассмотрим базу уязвимостей OSVDB. Данная база уязвимостей была запущена в 2004 году после конференции специалистов по информационной безопасности DEF CON. Ключевой концепцией данной базы является независимость от разработчиков программного обеспечения. OSVDB как проект закрыта в 2016 году, однако эпизодическая поддержка интернет-блога данного проекта продолжается. На основе OSVDB разработана коммерческая версия – VulnDB. Доступ к данной базе можно получить, оплатив соответствующую подписку. По состоянию на 2018 год, база VulnDB содержит в себе сведения о 176 тысячах уязвимостей, из которых примерно 60 тысяч записей отсутствуют в базах CVE, NVD.
Рассмотрим базу уязвимостей X-Force. X-Force разработана компанией IBM. Данная база уязвимостей является свободно распространяемой. В данной базе рассматриваются также вероятные последствия эксплуатации уязвимости. Сами уязвимости описаны достаточно подробно. Для каждой уязвимости подсчитан риск-параметр, характеризующий степень опасности данной уязвимости. Согласно методике оценки уязвимостей CVSS, уязвимости ранжированы по шкале от 1 до 10. Наибольшее число уязвимостей по базовым показателям попадает в диапазон от 4 до 8 баллов, и по временным показателям от 3 до 8.
