«Яндекс» официально вступил в международное сообщество по безопасности Common Vulnerabilities and Exposures, а «Яндекс.Браузер» получил статус CNA (CVE Numbering Authority), сообщает «КоммерсантЪ».
Компания сможет оперативно обмениваться информацией о найденных уязвимостях в ПО, ускорять процесс их поиска, обмениваться опытом и поощрять людей, участвующих в программе поиска ошибок Bug Bounty.
«Яндекс» стал первой российской компанией, присоединившейся к CVE. Статусом CNA обладает более 20 крупнейших ИТ-компаний: Apple, Oracle, Google, IBM, Symantec, Intel и др.
Проблема уязвимостей и их обнаружения исследуется очень давно, и за время ее существования предпринимались различные попытки классифицировать уязвимости по различным критериям. Каждая организация приводила и обосновывала свою классификацию. Для устранения неразберихи с наименованием уязвимостей и атак в 1999 году компания MITRE Corporation предложила решение, независимое от различных производителей средств поиска уязвимостей. Это решение было реализовано в виде базы данных CVE (Common Vulnerability Enumeration), которая затем была переименована в Common Vulnerabilities and Exposures.
В разработке базы данных CVE помимо экспертов MITRE принимали участие специалисты многих известных компаний и организаций: ISS, Cisco, BindView, Axent, NFR, L-3, CyberSafe, CERT, Университет Карнеги-Меллона, SANS Institute, UC Davis Computer Security Lab, CERIAS и т.д. О своей поддержке базы CVE заявили компании Internet Security Systems, Cisco, Axent, BindView, IBM и другие.
В России есть аналогичная база уязвимостей, которую ведет ФСТЭК, но в ней уделяется внимание уязвимостям, характерным для государственных информационных систем и автоматизированных систем управления производственными и технологическими процессами критически важных объектов.
