CVE和全球安全漏洞库(NVD, CNNVD, CNVD) 在软件安全检测和验收中的最佳分析工具

网址 全球信息安全漏洞库文件检测服务http://cvescan.com

 

全球信息安全领域著名的漏洞数据库包括中国国家信息安全漏洞库，美国国家信息安全漏洞库，赛门铁克漏洞库等等。这些漏洞库常见的做法是披露漏洞的形成原因和修复方法, 对如何检测漏洞却很少提及。缺少高效且准确的安全漏洞检测机制成为了制约漏洞库利用效率的一个障碍。 另一方面，国内各个软件项目的验收阶段和第三方评测中心在验收过程中，普遍侧重于功能性的验收，如何在有效的时间内对软件内部信息进行剖析，也是国内安全领域亟需解决的问题。

 

2017年1月英国安全专家Steve Cassius提出了一个方案，即通过搜集全球信息安全漏洞库中漏洞描述信息，通过编译捕捉的方式提取漏洞在各个平台下的多维变尺度特征向量(“Multidimensional Vector”)。然后再采用相同的方式提取被测文件的特征向量。结合大数据技术和人工智能技术将两者进行比对，就可以快速而准确的发现被测文件中的安全漏洞。这项技术已经通过CVESCAN.com网站向公众提供服务。

 

这项新技术在很大程度上弥补了当前漏洞库体系在实践应用中的欠缺的检测能力，也给软件与信息行业各个环节中的验收与第三方评测提供了一个方便易用的工具。

 

网址 全球信息安全漏洞库文件检测服务http://cvescan.com