Résumé

La Recommandation UIT-T X.1520 relative à l'utilisation des vulnérabilités et expositions courantes (CVE, common vulnerabilities and exposures) traite d'un moyen structuré d'échange d'informations sur les vulnérabilités et les expositions courantes en matière de sécurité de l'information, qui fournit des dénominations communes pour les problèmes connus du public rencontrés dans les logiciels commerciaux ou libres utilisés dans les réseaux de communication, dans les dispositifs d'utilisateur final, ou dans tout autre type de dispositif des technologies de l'information et de la communication (TIC) utilisant des logiciels. La présente Recommandation vise à définir l'utilisation des CVE pour faciliter l'échange de données sur les vulnérabilités entre différentes capacités (outils, répertoires et services) sur la base de ces dénominations communes. Elle définit l'utilisation des CVE en vue d'offrir un mécanisme pour permettre d'utiliser en association des bases de données sur les vulnérabilités et d'autres capacités, d'une part, et de faciliter la comparaison des outils et services de sécurité, d'autre part. Cette Recommandation ne prend pas en considération les informations telles que des informations sur les risques, les incidences et les solutions, ou des informations techniques détaillées. Elle prend uniquement en considération le numéro d'identification standard avec un indicateur d'état, une brève description, et des références aux rapports et avis de vulnérabilité associés. Le répertoire des identifiants de CVE est disponible à l'adresse cve.mitre.org/cve/cve.html.

Le but des CVE, dont l'utilisation est définie dans la présente Recommandation, est de pouvoir identifier toutes les vulnérabilités et expositions connues du public. Cette Recommandation est conçue pour prendre en considération des informations bien établies, mais l'objectif premier est d'identifier les vulnérabilités et les expositions qui sont détectées par les outils de sécurité ainsi que tout nouveau problème rendu public, puis de régler les éventuels problèmes de sécurité plus anciens qui nécessitent une validation.