Quelle affirmation à propos de la NVD (National Vulnerability Database) est inexacte ?

[A] Elle est gérée par la CISA (Cybersecurity and Infrastructure Security Agency)

[B] Elle est synchronisée avec la liste CVE de MITRE

[C] Elle complète la liste CVE avec des informations sur la criticité des failles via une notation CVSS v2 ou v3

[D] Elle recense plus de 20 000 vulnérabilités pour la seule année 2021


reponse linkedin

CBK6 Q06 LINK


La base nationale des vulnérabilités des États-Unis (NVD) n’est pas gérée par la CISA mais par le NIST. La NVD a été lancée par le NIST en 2005.

La bonne réponse est la proposition [A]

Même si le programme CVE et la base NVD sont deux programmes distincts, la NVD est synchronisée avec la liste CVE de MITRE afin que toutes les mises à jour de CVE apparaissent immédiatement dans la NVD. Par rapport à la CVE-list, la base NVD apporte des informations sur la criticité des failles selon un scoring CVSS v2 ou v3.

La NVD recense 20 061 vulnérabilités pour l’année 2021 et le schéma ci-dessous illustre l’évolution du nombre de vulnérabilités depuis 2001.

CBK6 Q06 NVD

 


Question et réponse rédigées par VERISAFE selon le programme officiel du CISSP (mai 2021)
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE