Od początku sierpnia CERT Polska jako jedyna instytucja w kraju i jeden z 7 CERT-ów w Europie może nadawać numery CVE, które służą identyfikacji i katalogowaniu publicznie ujawnionych podatności.

Działanie na jednolitej bazie podatności znacząco podnosi skuteczność reagowania po stronie firm i instytucji. Potrzebowaliśmy w Polsce organizacji działającej w programie CVE i od dziś ją mamy – podkreśla Sebastian Kondraszuk, kierownik CERT Polska.

Czym jest CVE?

CVE czyli Common Vulnerabilities and Exposures to międzynarodowy program wspierający ujawnianie luk bezpieczeństwa w oprogramowaniu komputerowym. Każda osoba, która znajdzie podatność może zgłosić ją do organizacji będącej CNA, czyli CVE Numbering Authority. Są to organizacje, które oceniają zasadność zgłoszenia, nadają podatnościom numery i dbają o jakość bazy. Od dziś taką właśnie funkcję pełni CERT Polska.

Baza CVE jest publiczna i dostępna za darmo dla każdego. Obecnie jest ona podstawą dla organizacji z całego świata w identyfikacji i śledzeniu informacji o nowych lukach bezpieczeństwa. Lista CVE zasila również amerykańską Narodową Bazę Danych Podatności (NVD), gdzie można przeglądać rekordy CVE w wygodny sposób.

Udział CERT Polska w programie to niezwykle istotny element w planie naszego rozwoju. Jest to także ważny punkt na mapie obowiązków wynikających z Dyrektywy NIS 2 – zaznacza Kondraszuk i dodaje, że status CNA to powód do satysfakcji i potwierdzenie wysokich standardów obsługi tego typu zgłoszeń przez CERT Polska.

Więcej o polityce zgłaszania podatności do CERT Polska i zasadach działania programu CVE można znaleźć na stronie https://cert.pl/cvd/.