Frei zugängliche Schwachstellen-Datenbank

Das Potsdamer Hasso-Plattner-Institut hat für jedermann den Zugang für eine Schwachstellendatenbank freigegeben. Darin kann der Nutzer unter anderem nach Produkten, CVE-Kennungen und Gefährdungsstufen suchen.

In Pocket speichern vorlesen Druckansicht 26 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Christian Kirsch

Auf der Webseite des Hasso-Plattner-Instituts der Universität Potsdam kann jedermann interaktiv nach bekannten Software-Sicherheitslücken suchen. Die Datenbank soll sich selbsttätig aktualisieren und zurzeit mehr als 55.000 Schwachstellen für 140.000 Programme enthalten. Bislang lässt sich nach einem beliebigen Text suchen sowie nach dem standardisierten Produktnamen (CPE), der Common Weakness Enumeration (CWE) und der Gefährdungsstufe (CVSS). Verschiedene Kriterien lassen sich kombinieren, etwa für die Suche nach besonders gravierenden Lücken in einem Produkt.

Die Daten stammen unter anderem aus der US-amerikanischen National Vulnerability Database (NVD), der Open Source Vulnerability Database (OSVDB), Microsoft Security Bulletins, Google Security Notes und SAP Security Notes sowie von Secunia und SecurityFocus. Die als eindeutiger Schlüssel verwendete CVE-ID verhindert trotz der verschiedenen Quellen das Auftreten von Dubletten.

Neben der interaktiven Suche soll die Datenbank demnächst auch eine API anbinden, sodass die Abfrage per Programm möglich ist. Die Daten sollen im XML- oder JSON-Format geliefert werden. Hierfür sowie für weitere geplante Erweiterungen, etwa einen Angriffs-Graphen, ist eine Registrierung erforderlich. (ck)