OSVDB, une base de données pour TOUTES les failles
C'est là plus un concurrent du Bugtrack que de la base CVE : l' Open Source Vulnerability Database (OSVDB) est « officiellement » ouverte au public depuis le 31 mars. Ouverte à tous les sens du terme, puisqu'il est possible non seulement de télécharger les tables de toutes (ou presque) les « failles » connues à ce jour, mais également de contribuer à l'enrichissement et à la constitution de ladite base. Chaque trou de sécurité mentionne, s'il y a lieu, l'existence d'une référence Cert ou CVE, d'une signalisation au fil d'une mailing list (bugtrack, NTBugtrack, Full Disclosure etc), de la présence d'un exploit accessible, d'un article publié par une entreprise impliquée (alerte ISS, GreyMagic ou consorts), du lien vers le correctif proposé par l'éditeur... travail de titan, oeuvre capitale, noble projet qui mériterait de ne pas mourir. Reste que la « gratuité » a un prix, celui d'un effort commun, d'une prise de conscience et de responsabilité partagée... et sans une orchestration ferme, sans une sorte de Torvalds aux commandes, l'avenir du projet peut paraître risqué. C'est pourtant le premier développement du genre qui pourrait ouvrir la porte à une gamme d'outils Gnu véritablement multiplates-formes, des « assessement tools » aux serveurs de déploiement de correctifs, en passant par des automates de détection de failles et d'intrus combinant le « savoir » d'OSVDB et l'efficacité d'un Nmap ou d'un Nessus.
