به طور کلی پايگاه دادههای آسيب پذيریها را میتوان به دو دسته تقسيم کرد. اول پايگاه دادههای عمومی مانند [1]CVEو [2]OSVDBدوم پايگاه دادههای سازندگان نرم افزارها مانند [3]MFSA. در پايگاه دادههای عمومی اطلاعات آسيب پذيریها از نرم افزارهای مختلف و متنوعی موجود است و اين گزارشها عموماً مربوط به محصولاتی با کاربری زياد است. اطلاعات پايگاه دادههای سازندگان مربوط به مجموعه محصولات خاصی است و اين اطلاعات به طور معمول در دسترس عموم نيست. تحقيقات انجام شده برروی پايگاه دادههای عمومی بسيار بيشتر از پايگاه دادههای سازندگان میباشد و اين مسئله با توجه به در دسترس بودن اين پايگاه دادهها و قابليت تعميم نتايج قابل توجيه است. معروفترين پايگاه دادههای عمومی آسيب پذيریهاCVEو OSVDBمیباشد. در اين تحقيق ترکيب اين دو پايگاه داده مورد استفاده قرار میگيرد؛ استفاده از دو پايگاه داده باعث میشود که دادههای قویتر و به دنبال آن نتايج قابل اعتمادتری بدست آيد.
OSVDBيکیاز پايگاه داده عمومی معروف، مستقل و منبع باز در زمينه آسيب پذيریها است. در وبسايت مربوط به اين پايگاه داده هدف OSVDBرا اينگونه بيان میکند:” هدف پروژه فراهم کردن اطلاعات تکنيکی دقيق، همراه با جزئيات و بدون تعصب درباره آسيب پذيریهای امنيتی است.” در OSVDBتا پايان سال 2010 ميلادی بيش از 70 هزار گزارش آسيب پذيری ثبت شده است(44). تصوير 3-1 شمای پايگاه داده OSVDBرا نشان میدهد. همانطور که در اين تصوير مشخص است اين پايگاه داده دارای 15 جدول است و اطلاعات بسياری همانند توصيف آسيب پذيریها، راه حلهای ارائه شده برای آنها، مشخصات محصول آسيب پذير و… در اين جدولها ثبت میشود (44).
[1]Common Vulnerabilities and Exposures
[2]Open Source Vulnerability Database
[3] Mozilla Foundation Security Advisories
CVEدر واقع يک استاندارد نام گذاری برای آسيب پذيریها است و تا پايان سال 2010 ميلادی بيش از 45 هزار گزارش آسيب پذيری در آن ثبت شده است. برخلاف OSVDBکه اطلاعات متنوعی را درباره آسيب پذيریها ثبت میکند، CVEبيشتر بر توصيف آسيب پذيریها و معرفی مراجع آنها تمرکز دارد (45).