CVEMap, Ortak Güvenlik Açıklarını ve Etkilenmeleri (CVE’ler) keşfetmenize olanak tanıyan açık kaynaklı bir komut satırı arayüzü (CLI) aracıdır. Güvenlik açığı veritabanlarında gezinmek için kolaylaştırılmış ve kullanıcı dostu bir arayüz sunmak üzere tasarlanmıştır.
Her ne kadar CVE’ler güvenlik zayıflıklarını tespit etmek ve tartışmak için çok önemli olsa da, hızlı büyümeleri ve zaman zaman ciddiyetlerinin abartılması çoğu zaman yanıltıcı bilgilere yol açmaktadır. Herhangi bir güvenlik açığı arayan rakipleri engellemek için sürekli tetikte olması gereken güvenlik uzmanlarının dikkati, CVE’lerin çokluğu yüzünden dağılıyor. Bu, kaynakların yanlış tahsis edilmesine ve gerçekten kritik güvenlik açıklarının ihmal edilmesine yol açabilir. CVEMap’in devreye girdiği yer burasıdır.
CVEMap, operasyonları için çeşitli değerli kaynaklardan yararlanır:
Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu (KEV): CISA tarafından yönetilen bu katalog, aktif olarak yararlanılan güvenlik açıklarını ve önemli son tarihleri listeleyerek acil tehditlerin önceliklendirilmesine yardımcı olur.
Exploit Tahmin Puanlama Sistemi (EPSS): Bu model, bir olasılık puanı sağlayarak ve geleneksel güvenlik açığı özelliklerine odaklanmanın ötesine geçen gerçek dünya verilerini birleştirerek bir güvenlik açığının istismar edilme olasılığını tahmin eder.
Kavram Kanıtları (POC’ler): Bunlar arasında GitHub ve diğer platformlardan yararlanılabilirliğe ilişkin bilgiler sunan resmi PoC’ler, kapsamlı referanslar ve üst düzey PoC’ler yer alır.
HackerOne CVE Keşfi: HackerOne platformundaki hata ödülü avcılarının CVE raporlarını ve sıralamalarını içerir.
İnternette maruz kalma: Belirli ürünler için aktif internet ana bilgisayarlarına ilişkin veriler sunarak güvenlik açıklarının küresel düzeyde açığa çıkmasıyla ilgili gerçek zamanlı bilgiler sunar.
GitHub ve OSS Verileri: CVE’lerden etkilenen açık kaynaklı projeler için ölçümler ve popülerlik bilgileri sağlar.
Çekirdek Şablonları: Güvenlik açıklarının geniş ölçekte kolay test edilmesi ve yeniden test edilmesi için güvenilir bir PoC setinin yanı sıra, Nuclei motoru için güvenlik açıklarını tanımlamaya yönelik topluluk tarafından seçilmiş bir şablon listesi.
“CVEMap’i öne çıkaran benzersiz özellikler, birden fazla veri noktasının tek bir görünümde görselleştirilmesi, herhangi bir veri noktasına göre CVE’leri filtreleme yeteneği ve CVE’den HackerOne raporlarına eşlemedir. ProjectDiscovery.io CTO’su Sandeep Singh, Help Net Security’ye, gelecekte daha fazla veri noktası eklemek ve bu farklı veri noktalarını CVE önceliklendirmesi için kullanmak istiyoruz” dedi.
CVEMap GitHub’da ücretsiz olarak mevcuttur.
Göz önünde bulundurulması gereken daha fazla açık kaynak araç: