CERT Polska może nadawać numery CVE - jako jedyna instytucja w Polsce

CVE to skrót od angielskiego Common Vulnerabilities and Exposures - dostępnego międzynarodowo programu wspierającego ujawnianie i analizę luk bezpieczeństwa w szeroko rozumianym oprogramowaniu komputerowym. W praktyce jest to baza informacji o podatnościach, które mogą zamieszczać w katalogu tylko organizacje zdolne wiarygodnie ocenić dane zagrożenie, nadać mu rzeczony numer CVE i dbać o jakość wpisów. Od teraz jedną z takich instytucji jest właśnie CERT Polska.

CERT Polska tłumaczy przy okazji, jak wygląda typowy przebieg analizy danego zgłoszenia dotyczącego luki bezpieczeństwa. Jak podaje, proces składa się z sześciu etapów, a są to:

1. Odkrycie zagrożenia przez osobę prywatną lub instytucję,
2. Poinformowanie partnera programu CVE o zagrożeniu,
3. Ocena zgłoszenia,
4. Nadanie podatności CVE ID,
5. Potwierdzenie i uzupełnienie szczegółów o podatności,
6. Upublicznienie informacji o zagrożeniu.

CERT Polska powinien być znany Polakom od dawna, między innymi z uwagi na liczne zachęty do zgłaszania zespołowi analityków fałszywych SMS-ów i innych zagrożeń widocznych w sieci. Do dyspozycji osób prywatnych i firm pozostaje numer telefonu oraz formularz internetowy, przy pomocy których można skontaktować się z ekspertami bezpieczeństwa z CERT Polska i podjąć pierwsze kroki, by ostrzec innych przed zagrożeniem.