Ce statut de CNA nous autorise à attribuer une identification CVE (Common Vulnerabilities and Exposures) à des vulnérabilités uniques dans le cadre de nos produits. Les chercheurs en sécurité peuvent désormais travailler directement avec Sophos afin d’ouvrir des CVE pour nos solutions, simplifiant ainsi le processus de signalement des problèmes et d’attribution des CVE.
Le programme CVE est un effort international qui tient à jour un registre de données ouvert regroupant les vulnérabilités, basé sur et dirigé par la communauté. Le programme répertorie les CVE dans un registre accessible au public, aux chercheurs en sécurité, aux divulgateurs de vulnérabilités et aux éditeurs IT. L’utilisation d’un identifiant commun facilite le partage et la vérification croisée des données, au sein du secteur, au niveau de plusieurs bases de données et outils de sécurité distincts qui permettent de suivre les vulnérabilités.
“Le nouveau statut de Sophos en tant que CNA est un autre exemple de notre engagement à être transparent, et avec cette capacité d’attribuer des CVE, nous pourrons fournir au secteur des informations pertinentes sur nos produits, et ce plus rapidement. Cette capacités permettront aux entreprises d’évaluer plus rapidement les problèmes de sécurité, de déterminer l’ampleur de l’urgence et de prioriser les mises à jour”.
Ross McKerchar, vice president and chief information security officer chez Sophos
Les CVE de Sophos seront également saisies au niveau des multiples bases de données CVE compatibles du secteur. En travaillant collectivement sur ces bases de données avec d’autres éditeurs et les gardiens des normes du secteur, nous pourrons ensemble améliorer les défenses contre les attaquants persistants.
“L’équipe Common Vulnerabilities and Exposures accueille Sophos en tant que nouvelle autorité de numérotation CVE. Sophos a la solide réputation de contribuer à la communauté mondiale de la cybersécurité, en proposant des solutions antivirus, de chiffrement et de cybersécurité depuis plus de 30 ans. Leur expérience apporte une réelle valeur au programme CVE. Nous sommes très heureux que Sophos soit un membre contributeur de l’équipe CVE”.
Kent Landfield, CVE board member.
À propos du programme CVE
Le programme CVE® (Common Vulnerabilities and Exposures) est un effort communautaire international qui tient à jour un registre de données de vulnérabilités ouvert, basé sur et dirigé par la communauté. Les ID des CVE attribuées via le registre permettent aux parties intégrées au programme de découvrir et de corréler rapidement les informations de vulnérabilité utilisées pour protéger les systèmes contre les attaques. Le programme CVE compte actuellement, au niveau mondial, 149 CNA dans 25 pays, pour les secteurs des technologies et des services.
Billet inspiré de Sophos is a CVE numbering authority, sur le Blog Sophos.
Qu’en pensez-vous ? Laissez un commentaire.