16.04.2025
1 хв
1091
CVE-бази та агрегатори вразливостей – це основний інструмент для тих, хто працює з безпекою, інфраструктурою та програмним забезпеченням. Саме через них можна зрозуміти, які вразливості існують у конкретних продуктах, наскільки вони небезпечні та чи використовуються у реальних атаках.
Офіційна база уразливостей від NIST. Саме з неї починається більшість CVE-записів. Тут можна знайти базові технічні дані, CVSS-оцінки та опис проблеми. Інтерфейс не найзручніший, але це головне джерело, на яке всі орієнтуються.
Дуже популярний сайт для швидкого перегляду уразливостей. Зручно дивитися історію проблем у конкретному продукті, версіях або вендорах. Часто використовується для аналізу ризиків і загального ресерчу без глибокого занурення.
Потужний агрегатор, який поєднує CVE, експлойти та аналітичні матеріали. Його часто використовують пентестери та red team. Добре підходить, коли потрібно зрозуміти, чи має уразливість практичну цінність для атаки.
Зручний сервіс для постійного моніторингу нових CVE. Дає змогу підписатися на конкретні продукти або вендорів і швидко отримувати оновлення. Дуже зручний для щоденної роботи та відстеження змін.
База, орієнтована на розробників і open-source проєкти. Особливо корисна для npm, PyPI та інших менеджерів залежностей. Пояснює не лише проблему, а й підказує, як її краще виправити.
Комерційна база з глибшим технічним підходом. Часто містить детальні пояснення та зв’язок з реальними атаками. Корисна для тих, хто працює з Metasploit або займається практичною безпекою.
Проєкт від Google, зосереджений на уразливостях у відкритому програмному забезпеченні. Зручно пов’язує CVE з конкретними комітами та версіями. Добре підходить для автоматизації та інтеграцій.
Простий сервіс для відстеження нових CVE в режимі майже реального часу. Часто використовується як стрічка новин. Підходить для швидкого огляду того, що з’явилося останнім часом.
Агрегатор, який робить акцент на оцінці реального ризику. Допомагає швидко зрозуміти, які уразливості справді критичні. Зручний для пріоритезації, коли стандартного CVSS уже недостатньо.
База уразливостей, інтегрована в екосистему Wazuh. Орієнтована на SIEM-підхід і роботу SOC-команд. Добре підходить для кореляції подій і моніторингу безпеки.
Спеціалізована база для контейнерів і хмарних середовищ. Часто використовується в DevSecOps-процесах. Корисна, якщо ви працюєте з Docker, Kubernetes і CI/CD-пайплайнами.
Кураторська база з фокусом на хмарну інфраструктуру. Дає менше «шуму» і більше практичного контексту. Корисна для оцінки реальних ризиків у cloud-security середовищах.
