10 Glossar

Dieser Abschnitt definiert relevante Begriffe die immer wieder im gesamten System verwendet werden.

10.1 Asset

Assets sind Hosts, die während eines Schwachstellenscans mit einer OPENVAS-SCAN-Appliance im Netzwerk erkannt werden.

Während des Imports der Daten von der Appliance in OPENVAS SECURITY INTELLIGENCE werden die Assets in OPENVAS SECURITY INTELLIGENCE angelegt.

10.2 CSAF

Das Common Security Advisory Framework (CSAF) ist ein standardisiertes, maschinenlesbares Framework für die Verteilung von Sicherheitsdokumenten.

CSAF-Dokumente werden z. B. von Software- und Hardware-Anbietern, Regierungen und unabhängigen Forschern zur Verfügung gestellt und enthalten Informationen über Sicherheitslücken. Die Nutzer von CSAF-Dokumenten können so Sicherheitsinformationen von einer dezentralen Gruppe von Anbietern sammeln und die Risikobewertung mit zuverlässigeren Informationen und weniger Ressourcen automatisieren.

10.3 CPE

Common Platform Enumeration (CPE) ist ein strukturiertes Benennungsschema für IT-Systeme, -Plattformen und -Pakete.

Ein CPE-Name beginnt mit „cpe:/“, gefolgt von bis zu 12 Komponenten, die durch Doppelpunkte getrennt sind.

10.4 CVE

Common Vulnerabilities and Exposures (CVE) ist ein Wörterbuch öffentlich bekannter Sicherheitslücken und -risiken in der Informationstechnik. Jeder Schwachstelle wird eine eindeutige Kennung zugewiesen, die aus dem Jahr der Veröffentlichung und einer einfachen Nummer besteht und als zentrale Referenz dient.

10.5 CVSS

Das Common Vulnerability Scoring System (CVSS) ist ein Industriestandard zum Beschreiben des Schweregrads eines Sicherheitsrisikos in Computersystemen. Sicherheitsrisiken werden mithilfe unterschiedlicher Kritierien bewertet und verglichen. Dies ermöglicht das Erstellen einer Prioritätenliste von Gegenmaßnahmen.

10.6 EPSS

Das Exploit Prediction Scoring System (EPSS) ist ein Maß für die Wahrscheinlichkeit, dass eine Schwachstelle innerhalb der nächsten 30 Tage ausgenutzt wird. Dies ermöglicht die Erstellung einer Prioritätenliste von Gegenmaßnahmen.

10.7 Schwachstellentests (VT)

Ein Schwachstellentest (engl. vulnerability test, VT) ist eine Routine, die ein Zielsystem auf das Vorhandensein eines bestimmten bekannten oder potenziellen Sicherheitsproblems überprüft. VTs enthalten Informationen über das Entwicklungsdatum, die betroffenen Systeme, die Auswirkungen der Schwachstellen und deren Behebung.

10.8 Qualität der Erkennung (QdE)

Die Qualität der Erkennung (QdE) ist ein Wert zwischen 0 und 100 und beschreibt die Zuverlässigkeit der ausgeführten Schwachstellen- oder Produkterkennung.

Weitere Informationen befinden sich in Kapitel 6.2.4.4.

10.9 SBOMs

Eine Software-Stückliste (Software Bills of Materials, SBOMs) ist ein Dokument, das alle Komponenten und Abhängigkeiten auflistet, die in einem Softwareprodukt verwendet werden, einschließlich Quelle, Version und Lizenz.

10.10 Schweregrad

Der Schweregrad ist ein qualitatives Maß für die Kritikalität einer Schwachstelle gemäß dem Common Vulnerability Scoring System (CVSS). Dazu gehören ein Schweregrad, der eine Zahl zwischen 0,0 und 10,0 ist, wobei 10,0 der höchste Schweregrad ist, und eine auf dem Wert basierende Schwereklasse (Kritisch, Hoch, Mittel und Niedrig).

10.11 Art der Lösung

Die Art der Lösung zeigt mögliche Lösungen für die Behebung der Schwachstelle (Workaround, Mitigation, Vendor Fix) oder ob eine Schwachstelle nicht behoben werden kann oder wird.