Kalteberatasun eta esposizio komunek (Common Vulnerabilities and Exposures edo CVE ingeleseko siglengatik) erreferentzia egiten diote publikoki ezagunak diren kalteberatasunen erregistro- eta segurtasun-sistemari. CVE bakoitzak identifikazio zenbaki bakarra dauka.
CVE erregistroa 1999an jarri zen martxan eta MITRE erakundeak darama, beste erakunde bazkide batzuekin batera. CVE programaren helburua publikoki zabaldu diren zibersegurtasuneko kalteberatasunak hauteman, zehaztu eta sailkatzea da. CVE erregistro bakoitzak informazio deskribatzailea du kalteberatasunaren inguruan, oro har, ez oso zabala, zer den erraz ulertu ahal izateko.
Erregistro honek CVEren identifikatzaile bakarra du (CVE ID) eta kalteberatasuna eta erregistroa erraz lokalizatzea ahalbidetzen du. Erregistro hori CNA (CVE Numbering Authority) izeneko erakundeak ematen du eta ADP (Authorized Data Publisher) argitaletxeak aberastu. CVE ID honelako sekuentzia izan ohi da: CVE-2021-40444.
Identifikatzailea CVE akronimoak osatzen du, gidoia, aurkikuntza urtea, beste gidoi bat eta urte horretako kalteberatasunen kopuruarekin batera. Azken zenbaki hori balio inkrementala da, hau da, urte horretan aurkitutako azken kalteberatasuna 40444 baldin bada hurrengoa CVE-2021-40445 izango da. Informazio hori guztia hainbat modu eta formatutan helarazten zaio publikoari, bai gizakiek, bai makinek ulertzeko moduan.
CVE erregistro batean, kalteberatasun horrekiko sentiberak diren produktuak identifikatu ohi dira, deskribapena, CNA erakundea, kalteberatasunaren inguruan gehiago sakontzeko erreferentziazko estekak eta kalteberatasuna erregistratu zen eguna barne.
“CVErekin bateragarria” espresioak adierazten du webgune, plataforma, tresna, datu-base edo zerbitzu batek CVE izenak erabiltzen dituela. Horrek aukera ematen dio sistema horri CVE izenak erabiltzen dituen beste gordailu batzuekin gurutzatutako loturak ezartzeko.
MITRE erakundearen webgunean ageri den zerrendako erregistro bat kontsultatzean, ezingo dira kalteberatasunaren kalifikazioak edo kritikotasun-adierazleak ikusi. Alabaina, beste organismo batzuek ere kudeatzen dute CVE erregistro berdinak dituen zerrenda, eta horiei gehitzen zaie kritikotasun-adierazlea eta kalifikazioa, hala nola Estatu Batuetako Gobernuaren Kalteberatasunen Datu-base Nazionala (NVD). Datu-base horretan, erregistroak CVSS izeneko puntuazioarekin doaz, eta kalteberatasunaren kritikotasuna adierazten dute. Zehazki, NVDk bi CVSS puntuazio-sistema eskaintzen ditu kritikotasun-puntuazioa esleitzean. CVSS 2. bertsioa eta CVSS 3. bertsioa, eta 3. bertsioa da berriena.
Espainian, INCIBE (Espainiako Zibersegurtasuneko Institutu Nazionala) da CVE erregistroen zerrenda gaztelaniaz kudeatzeaz arduratzen den erakundea.
Software produktu batean kalteberatasunen bat hautematen duen edozein pertsonak has dezake erregistratzeko prozesua MITREren webguneko Update a CVE Record (CVE erregistroa eguneratu) atalean ageri diren pausoak jarraituta.
