Quelle affirmation à propos de la NVD (National Vulnerability Database) est inexacte ?
[A] Elle est gérée par la CISA (Cybersecurity and Infrastructure Security Agency)
[B] Elle est synchronisée avec la liste CVE de MITRE
[C] Elle complète la liste CVE avec des informations sur la criticité des failles via une notation CVSS v2 ou v3
[D] Elle recense plus de 20 000 vulnérabilités pour la seule année 2021
La base nationale des vulnérabilités des États-Unis (NVD) n’est pas gérée par la CISA mais par le NIST. La NVD a été lancée par le NIST en 2005.
La bonne réponse est la proposition [A]
Même si le programme CVE et la base NVD sont deux programmes distincts, la NVD est synchronisée avec la liste CVE de MITRE afin que toutes les mises à jour de CVE apparaissent immédiatement dans la NVD. Par rapport à la CVE-list, la base NVD apporte des informations sur la criticité des failles selon un scoring CVSS v2 ou v3.
La NVD recense 20 061 vulnérabilités pour l’année 2021 et le schéma ci-dessous illustre l’évolution du nombre de vulnérabilités depuis 2001.
Pour en savoir plus sur les vulnérabilités nous vous recommandons de suivre le module n°15 de la formation CISSP de VERISAFE.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE