CVE (Common Vulnerabilities and Exposures)

CVE (Common Vulnerabilities and Exposures) ist ein international standardisiertes System zur eindeutigen Identifikation und Benennung öffentlich bekannter IT-Sicherheitslücken, das von der MITRE Corporation verwaltet und von NIST in der National Vulnerability Database (NVD) mit Metadaten und CVSS-Scores angereichert wird. Jede CVE-Kennung folgt dem Schema CVE-JAHR-NUMMER und ermöglicht es, Schwachstellen über verschiedene Sicherheitstools, Patch-Management-Systeme und Meldestellen hinweg eindeutig zu referenzieren. In IT-Vergaben sollten Auftraggeber vom Auftragnehmer einen nachweisbaren Prozess fordern, mit dem CVEs in verwendeten Softwarekomponenten systematisch überwacht und innerhalb definierter Fristen behoben werden.