WPScan теперь может назначать номера CVE для уязвимостей ядра WordPress, плагинов и тем

WPScan , компания, занимающаяся безопасностью, которая ведет базу данных уязвимостей WordPress, была официально обозначена как центр нумерации CVE (Common Vulnerability and Exposures) (CNA). Компания объединяет 151 организацию из 25 стран, которые участвуют в программе CVE в качестве CNA. Эти организации уполномочены назначать идентификаторы CVE (идентификаторы CVE) уязвимостям в рамках их собственных конкретных объемов работы, внося свой вклад в список CVE записей для публично известных уязвимостей безопасности.

Объем WPScan включает уязвимости ядра WordPress, плагинов и тем. С 2014 года компания внесла в каталог более 21 905 уязвимостей в своей базе данных, которые она делает доступными для сообщества через API. Этот API также используется плагином WPScan Security Scanner , который установлен на более чем 5000 веб-сайтах.

Назначение CNA помогает WPScan лучше управлять уязвимостями WordPress, присваивая им уникальные идентификаторы, признанные во всей отрасли.

«Просить MITER назначить CVE для каждой из наших уязвимостей в прошлом было бы слишком долго», – сказал основатель и генеральный директор WPScan Райан Дьюхерст. «Хотя некоторые исследователи безопасности будут проходить этот процесс напрямую с MITER, мы этого не сделали из-за большого количества уязвимостей, с которыми нам нужно справиться. И исследователи безопасности запрашивали их очень редко. Новый процесс означает, что мы сами можем присваивать номера CVE непосредственно уязвимостям. Это приведет к тому, что гораздо большему числу связанных с WordPress уязвимостей будут присвоены номера CVE ».

WPScan – это команда из трех исследователей безопасности, которые прошли опыт тестирования на проникновение и работали в сфере консалтинга по безопасности в течение последних 10-15 лет. Компания начала с простого скрипта Ruby в 2011 году, который выявлял уязвимости в собственных сайтах WordPress. В течение последних двух лет Automattic спонсировала усилия компании по обслуживанию базы данных, поскольку WPScan превратился в устойчивый бизнес, продав доступ к своему API.

Дьюхерст сказал, что в число клиентов компании входят «одни из крупнейших в мире подключаемых модулей безопасности и хостинговые компании», но многие из них не афишируют тот факт, что используют сторонние источники для обнаружения уязвимостей. Большинство корпоративных клиентов WPScan – это плагины безопасности, компании и хосты, которые интегрируют данные из базы данных уязвимостей в свои собственные продукты и услуги.

«Наш бизнес идет хорошо, – сказал он. «Прямо сейчас мы пытаемся найти правильный баланс между ведением бизнеса и зарабатыванием денег, при этом принося максимальную пользу сообществу».