Common Platform Enumeration

Common Platform Enumeration (CPE) ist ein Industriestandard für eine einheitliche Namenskonvention informationstechnischer Systeme, Plattformen und Softwarepakete. Gemeinsam mit der CVE soll erreicht werden, dass Schwachstellen in Systemen eindeutig und vergleichbar bezeichnet werden. Der CPE-Standard besteht aus einer Syntaxbeschreibung für CPE-Namen, einer CPE-Sprachbeschreibung für XML, einer Algorithmenspezifikation für das Vergleichen von CPE-Namen und einem Verzeichnis aller bislang registrierten Produkte (CPE-Dictionary).

CPE ist Teil von SCAP und wird vom NIST administriert.[1] CPE wurde ursprünglich von der MITRE Corporation vorangebracht. Im Frühjahr 2013 hat MITRE die Übergabe ans NIST angekündigt.[2][3]

Aufbau der CPE-Namen

[Bearbeiten | Quelltext bearbeiten]

Basierend auf der generischen Syntax für URI beinhaltet der CPE-Standard eine formale Beschreibung, wie ein bestimmtes Produkt zu benennen ist. Jeder CPE-Name beginnt mit „cpe:/“, gefolgt von einem Buchstaben zur Unterscheidung, ob es sich um Hardware („h“), ein Betriebssystem („o“) oder eine Anwendung („a“) handelt.

cpe:/{part}:{vendor}:{product}:{version}:{update}:{edition}:{language}

Beispiel:

Vendor: redhat
Product: enterprise_linux
Version: 3
Update: ga
Edition: desktop

resultiert in cpe:/o:redhat:enterprise_linux:3:ga:desktop

Seit CPE version 2.3[4] gibt es zusätzlich das Format „formatted string binding“

cpe:2.3:{part}:{vendor}:{product}:{version}:{update}:{edition}:{language}:{sw_edition}:{target_sw}:{target_hw}:{other}

Beispiel:

cpe:2.3:a:apache:commons_io:2.8.0:*:*:*:*:*:*:*

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. http://scap.nist.gov/specifications/cpe/
  2. Archivierte Kopie (Memento des Originals vom 19. November 2015 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/making-security-measurable.1364806.n2.nabble.com
  3. http://cpe.mitre.org/
  4. https://nvlpubs.nist.gov/nistpubs/Legacy/IR/nistir7695.pdf