Vous êtes sur le site public du Cert-IST
Le NIST modernise sa base de données de vulnérabilités et lance "NVD"

Date :02 Septembre 2005

Publication: Article

Le NIST (National Institute of Standards and Technology) est une institution gouvernementale des États-Unis (agence du département au commerce) créée en 1901 par le Congrès pour promouvoir la recherche scientifique dans ses retombées industrielles et commerciales.

La "National Cyber Security Division" chargée de coordonner les actions de cybersécurité au sein du "Department of Homeland Security" (Maison Blanche) a financé le NIST pour qu'il refonde son outil ICAT d'archivage des vulnérabilités. Le NIST a alors développé un nouvel outil, baptisé NVD ("National Vulnerability Database") qui s'appuie sur une base de données de vulnérabilités et qui propose les fonctions suivantes :

  • mise à jour plusieurs fois par heure par une synchronisation avec la base de donnée CVE de MITRE ("Common Vulnerabilities and Exposures"),
  • ajout (pour certaines failles) des plates formes impactées, du niveau de risque et de liens vers des solutions éventuelles,
  • lien avec les publications de l'US-CERT (Technical alerts "TA", vulnerability notes "VU#" et recherches "OVAL"),
  • publication de statistiques sous forme graphique (en cours de développement),
  • mise à disposition, au format XML, des informations relatives à toutes les vulnérabilités d'une année,
  • mise à disposition d'un flux RSS 1.0 avec la présentation des vulnérabilités les plus récentes.

Ces informations sont accessibles gratuitement et exploitables librement.

Le Cert-IST dans le cadre de son service de veille suit cette base de vulnérabilité. Il étudie actuellement le moyen d'indexer ces informations dans ses avis de sécurité, de les utiliser pour intégrer dans sa base de connaissance des vulnérabilités qui n'ont pas fait l'objet d'avis ni de publication, par  exemple via la création d'un format XML permettant de lier les publications du Cert-IST avec ces informations.

Pour en savoir plus :