CVE Nedir?
İngilizce: CVE (Common Vulnerabilities and Exposures)
CVE, kamuya açıklanmış güvenlik açıklarına benzersiz kimlik veren ve ekiplerin yamalama önceliği belirlemesini sağlayan standarttır.
CVE Nedir?
CVE (Common Vulnerabilities and Exposures), kamuya açıklanmış güvenlik açıklarını ortak bir kimlikle adlandıran kayıt sistemidir. Aynı açık farklı güvenlik araçlarında, üretici duyurularında ve bilet sistemlerinde farklı isimlerle geçebileceği için CVE numarası ortak referans sağlar.
Örneğin CVE-2024-xxxx biçimindeki bir kayıt, belirli bir yazılım, sürüm ve zafiyet açıklamasına işaret eder. CVE kaydı çoğu zaman açığın nasıl sömürüleceğini değil; etkilenen ürünleri, genel etkiyi, üretici duyurusunu ve düzeltme bilgisini bulmayı kolaylaştırır.
CVE Nasıl Kullanılır?
CVE kayıtları MITRE tarafından koordine edilir; zafiyetin ciddiyetini derecelendirmek için ise genellikle CVSS puanı kullanılır. Güvenlik ekipleri bu kayıtları varlık envanteriyle eşleştirerek hangi sunucu, paket, container image veya üçüncü parti ürünün risk taşıdığını belirler.
Bir CVE değerlendirilirken şu sorular önemlidir:
- Etkilenen sürüm gerçekten sistemde kullanılıyor mu?
- Açık uzaktan sömürülebiliyor mu, kimlik doğrulama gerektiriyor mu?
- Üretici yaması, geçici önlem veya yapılandırma değişikliği var mı?
- Açık internete açık bir bileşende mi yoksa iç ağda mı bulunuyor?
Risk ve Korunma
CVE bir fayda değil, izlenmesi gereken güvenlik riskinin standart adıdır. Vulnerability yönetimi; düzenli paket taraması, SBOM, yama takvimi, geçici azaltma kontrolleri ve olay müdahalesiyle birlikte ele alınmalıdır.
OWASP rehberleri uygulama güvenliği için iyi bir çerçeve sunar; ancak CVE takibi altyapı, işletim sistemi, kütüphane ve ticari ürünleri de kapsar. Kritik kayıtlar için sadece skora değil, gerçek kullanım bağlamına göre öncelik verilmelidir.
İlgili Terimler
OWASP, web uygulama güvenliğini iyileştirmek için OWASP Top 10 gibi kaynaklar yayımlayan kar amacı gütmeyen güvenlik kuruluşudur.
Sızma TestiSızma testi, yetkili uzmanların uygulama, ağ veya altyapıya kontrollü saldırılarla açıkları bulup risk düzeyini raporladığı denetimdir.
Güvenlik AçığıGüvenlik açığı, yazılım veya altyapıda yetkisiz erişim, veri sızıntısı ya da hizmet kesintisi için kullanılabilecek zayıflıktır.