База данных уязвимостей с открытым исходным кодом
База данных уязвимостей с открытым исходным кодом (англ. Open Sourced Vulnerability Database, OSVDB) — независимая и открытая база данных уязвимостей. Цель проекта заключалась в предоставлении точной, детальной, актуальной и объективной технической информации о уязвимостях безопасности[1]. Проект содействовал более открытому сотрудничеству между компаниями и частными лицами. Девизом базы данных было: «Всё уязвимо»[2].
В основе OSVDB лежала реляционная база данных, объединяющая разнообразную информацию о компьютерных уязвимостях в общий, перекрёстно-связанный открытый источник безопасности. По состоянию на декабрь 2013 года, в базе было каталогизировано более 100 000 уязвимостей[3]. Хотя база поддерживалась некоммерческой общественной организацией, имеющей статус 501(c)(3), и добровольцами, коммерческое использование данных было запрещено без лицензии. Несмотря на это, многие крупные коммерческие компании использовали данные в нарушение лицензии, не внося свой вклад ни человеческими ресурсами, ни финансовыми средствами[4].
История
Проект был запущен в августе 2002 года на конференциях Blackhat и DEF CON несколькими известными представителями отрасли (включая H. D. Moore, rain.forest.puppy и других). После прихода новой команды управление проектом было официально передано общественности 31 марта 2004 года[5]. Первая версия платформы была написана на PHP Форрестом Рэем (Forrest Rae). Позже весь сайт был переписан на Ruby on Rails Дэвидом Шеттлером (David Shettler).
Для организации поддержки проекта была создана Open Security Foundation (OSF). Джейк Каунс (Jake Kouns, Zel), Крис Сулло (Chris Sullo), Келли Тодд (Kelly Todd, Lyger), Дэвид Шеттлер (David Shettler, D2D) и Брайан Мартин (Brian Martin, Jericho) управляли проектом OSVDB и в разное время занимали руководящие посты в OSF.
5 апреля 2016 года база данных была закрыта, но блог первоначально продолжал вести Брайан Мартин[6]. Причиной закрытия стало продолжающееся коммерческое, но не компенсируемое использование данных компаниями в области безопасности[7].
С января 2012 года добавлением записей о новых уязвимостях занимались штатные сотрудники компании Risk Based Security[8], предоставляя таким образом ресурсы для работы на благо сообщества. Каждая новая запись включала полное название, хронологию раскрытия, описание, решение (если известно), классификационные метаданные, ссылки, связанные продукты и имя исследователя (автора обнаружения).
Процесс
Изначально отчёты об уязвимостях, публикуемые на различных специальных рассылках и на интернет-сайтах, вносились в базу как новые записи в очередь New Data Mangler (NDM). На первоначальном этапе новая запись содержала только название и ссылки на публикации об уязвимости. На этом этапе страница не содержала подробного описания проблемы или сопутствующей метаинформации. Позднее участники анализировали и дополняли эти записи описаниями уязвимости, возможными решениями и другой информацией. Этот процесс назывался «data mangling», а его участники — манглерами (mangler). Манглинг выполнялся как основными, так и внешними волонтёрами. Детали, внесённые волонтёрами, проверялись основной командой, модераторами, которые могли доработать или отклонить изменение. После утверждения информация становилась общедоступной на сайте.
Участники
Ключевые персоны, участвовавшие в поддержке и развитии OSVDB:
- Джейк Каунс (Officier OSF, модератор)
- Брайан Мартин (Jericho) (Officier OSF, модератор)
- Келли Тодд (Lyger) (Officier OSF, модератор)
- Дэвид Шеттлер (Officier OSF, разработчик)
- Крис Сулло (модератор)
- Даниэль Мёллер (модератор)
- Форрест Рэй (разработчик)
Среди других волонтёров, принимавших участие ранее:[9]
- Стив Торнио (модератор)
- Зак Шу (модератор)
- Александр Корен (ph0enix) (манглер)
- Карстен Эирам (Chep) (модератор)
- Марлоу (манглер)
- Трэвис Шак (манглер)
- Сусам Пал (манглер)
- Кристиан Зайферт (манглер)
- Зайн Мемон