La Base de Datos Nacional de Vulnerabilidades (NVD) es una base de datos de vulnerabilidades de ciberseguridad de acceso público, patrocinada por el gobierno de los Estados Unidos. La NVD incluye información sobre las vulnerabilidades que se han identificado en una amplia gama de productos de software, incluyendo sistemas operativos, aplicaciones y dispositivos de red. La base de datos está diseñada para ayudar a los profesionales de la seguridad y a los desarrolladores a identificar y mitigar los riesgos de seguridad.
El NVD es mantenido por el Instituto Nacional de Estándares y Tecnología (NIST), una agencia federal que forma parte del Departamento de Comercio de los Estados Unidos. El NIST gestiona el NVD en colaboración con el sector privado, incluyendo proveedores de seguridad, organizaciones de investigación y agencias gubernamentales. El NVD se actualiza regularmente y se añaden nuevas vulnerabilidades a medida que se identifican.
¿Es el NVD de código abierto?
La Base de Datos Nacional de Vulnerabilidades (NVD) es un repositorio de datos de gestión de vulnerabilidades basado en estándares, patrocinado por el Centro Nacional de Integración de Ciberseguridad y Comunicaciones (NCCIC) del Departamento de Seguridad Nacional (DHS) de Estados Unidos y mantenido por el Instituto Nacional de Estándares y Tecnología (NIST). El NVD incluye bases de datos de listas de comprobación de seguridad, fallos de software relacionados con la seguridad, desconfiguraciones, nombres de productos y métricas de impacto.
Los datos del NVD están a disposición del público en diferentes formatos, como JSON, XML y CSV. Los datos también están disponibles a través de una API, que permite a los desarrolladores acceder a los datos mediante programación. Los datos del NVD se actualizan diariamente, y los usuarios pueden suscribirse para recibir notificaciones cuando se actualicen los datos.
¿Quién mantiene la Base de Datos Nacional de Vulnerabilidad?
La Base de Datos Nacional de Vulnerabilidades (NVD) es el repositorio del gobierno de los Estados Unidos de datos de gestión de vulnerabilidades basados en estándares y representados mediante el Protocolo de Automatización de Contenidos de Seguridad (SCAP). Estos datos permiten la automatización de la gestión de vulnerabilidades, la medición de la seguridad y el cumplimiento de las normas. El NVD incluye bases de datos de listas de comprobación de seguridad, fallos de software relacionados con la seguridad, desconfiguraciones, nombres de productos y métricas de impacto.
El Instituto Nacional de Estándares y Tecnología (NIST) mantiene el NVD. ¿Es el NVD de código abierto? Aunque el NVD no tiene una licencia de código abierto, los datos que contiene son de libre acceso. El NVD es un repositorio de información sobre vulnerabilidades mantenido por el gobierno de los Estados Unidos.
¿Cómo se calcula la puntuación CVSS?
La puntuación CVSS se calcula teniendo en cuenta la gravedad de la vulnerabilidad, la probabilidad de que sea explotada y el impacto potencial del exploit. A continuación, la puntuación se multiplica por un factor de ponderación para obtener la puntuación CVSS final.
¿Dónde puedo consultar el CVE?
La lista CVE (Common Vulnerabilities and Exposures) es una base de datos de acceso público que contiene información sobre vulnerabilidades de ciberseguridad. La lista CVE es mantenida por la División Nacional de Ciberseguridad del US-CERT del Departamento de Seguridad Nacional.
La lista CVE está disponible en el sitio web del US-CERT: https://www.us-cert.gov/ncas/cve
Alternativamente, la lista CVE puede buscarse y examinarse utilizando la herramienta de búsqueda de la base de datos CVE: https://cve.mitre.org/