Jeden Tag eine App
…
continue reading
Inhalt bereitgestellt von CCC media team. Alle Podcast-Inhalte, einschließlich Episoden, Grafiken und Podcast-Beschreibungen, werden direkt von CCC media team oder seinem Podcast-Plattformpartner hochgeladen und bereitgestellt. Wenn Sie glauben, dass jemand Ihr urheberrechtlich geschütztes Werk ohne Ihre Erlaubnis nutzt, können Sie dem hier beschriebenen Verfahren folgen https://de.player.fm/legal.
Ähnelt Chaos Computer Club - recent events feed
Menschen! Technik! Sensationen!
…
continue reading
Jeden Samstag das Neueste aus Computertechnik und Informationstechnologie. Beiträge, Reportagen und Interviews zu IT-Sicherheit, Informatik, Datenschutz, Smartphones, Cloud-Computing und IT-Politik. Die Trends der IT werden kompakt und informativ zusammengefasst.
…
continue reading
In dieser Serie diskutieren wir interessante Themen aus Software-Entwicklung und -Architektur – immer mit dem Fokus auf Praxistauglichkeit.
…
continue reading
Ein Podcast über alte und neue Spiele
…
continue reading
Die wöchentliche Talkrunde rund um Apple, Mac, iPod + iPhone, Gadgets und so. Fast live aus München.
…
continue reading
1
Zurück zur Zukunft - Tech-News und Business Models
Zurück zur Zukunft - Tech-News und Business Models
2k
346
Nicht nostalgisch an Vergangenem kleben, sondern optimistisch die Zukunft gestalten: Zurück zur Zukunft! Denn: Institutionen werden immer versuchen, die Probleme zu erhalten, für die sie die Lösung sind (Clay Shirky). Wir fassen daher seit 2019 jede Woche die wichtigsten Entwicklungen im technologischen Umfeld zusammen und ordnen ihre Konsequenzen für Unternehmen und die Gesellschaft ein. Jeden Dienstag neu! Als Unternehmer aus Berlin befassen wir uns seit 1995 intensiv mit dem Internet und ...
…
continue reading
Immer donnerstags live um 17 Uhr sprechen Anna Kalinowsky, Malte Kirchner und Volker Zota von heise online bei YouTube über die Tech-Themen der Woche. Zum Nachhören gibt es die heiseshow auch als Podcast.
…
continue reading
Der manager magazin Podcast informiert aktuell über die relevantesten Themen der Wirtschaft. Redakteurinnen und Redakteure geben Einblicke in ihre Recherchen zu den wichtigsten Konzernen und Wirtschaftstrends der globalen Ökonomie. Kurzweilig, informativ und in jedem Fall hilfreich für Ihre Karriere.
…
continue reading
Der abwechslungsreichste Spiele-Podcast der Welt. Mit Anne, Micha, Manu, Michi und illustren Gästen aus der Videospielbranche. Meinungen, Interviews und Croissants.
…
continue reading
Player FM - Podcast-App
Gehen Sie mit der App Player FM offline!
Gehen Sie mit der App Player FM offline!
))
The Surprising Complexity of Finding Known Vulnerabilities (god2025)
Manage episode 521298987 series 48696
Inhalt bereitgestellt von CCC media team. Alle Podcast-Inhalte, einschließlich Episoden, Grafiken und Podcast-Beschreibungen, werden direkt von CCC media team oder seinem Podcast-Plattformpartner hochgeladen und bereitgestellt. Wenn Sie glauben, dass jemand Ihr urheberrechtlich geschütztes Werk ohne Ihre Erlaubnis nutzt, können Sie dem hier beschriebenen Verfahren folgen https://de.player.fm/legal.
With the increasing reliance on third-party software components, ensuring their security against known vulnerabilities has become a daily challenge for individuals and organizations. Despite the availability of a variety of tools and databases, we found all of them fall short when applied to real-world scenarios - raising questions about their effectiveness, generalizability, and practical utility. Starting from our perspective as penetration testers, we identified three main problems with existing solutions in vulnerability identification: Accuracy and completeness of results - Many tools exhibit limited precision and recall, often depending on a single data source (e.g. NVD) and overlooking critical indicators such as known exploits or patch history. Rigid input requirements - Most solutions enforce strict formatting constraints (e.g., requiring exact CPEs), creating usability and reliability issues when dealing with diverse or incomplete data. Lack of usable outputs - The inability to meaningfully export or integrate results into broader workflows hampers both manual and automated security processes. In order to solve these challenges, we developed the open-source tool search_vulns. It leverages information from multiple data sources and uses text comparison techniques and CPEs in combination to increase accuracy in software identification. Due to this approach, it can even automatically generate CPEs that have yet to be published. Together with its custom logic for version comparison, this further enhances the quality of results. Finally, search_vulns provides a fine-granular export of results in different formats. In conclusion, this talk aims to simplify the surprising complexity of finding known vulnerabilities in software. To do so, we discuss common challenges in mapping software names to CPEs, e.g. for product rebrandings, single-version vulnerabilities and yet to be published software versions. In addition, we present an approach using multiple data sources in combination to enrich CVE data with information on known exploits, likelihood of exploitability (EPSS) and other data sources. Finally, we present search_vulns as open-source tool. Licensed to the public under https://creativecommons.org/licenses/by-sa/4.0/ about this event: https://c3voc.de
…
continue reading
3373 Episoden
Teilen
Manage episode 521298987 series 48696
Inhalt bereitgestellt von CCC media team. Alle Podcast-Inhalte, einschließlich Episoden, Grafiken und Podcast-Beschreibungen, werden direkt von CCC media team oder seinem Podcast-Plattformpartner hochgeladen und bereitgestellt. Wenn Sie glauben, dass jemand Ihr urheberrechtlich geschütztes Werk ohne Ihre Erlaubnis nutzt, können Sie dem hier beschriebenen Verfahren folgen https://de.player.fm/legal.
With the increasing reliance on third-party software components, ensuring their security against known vulnerabilities has become a daily challenge for individuals and organizations. Despite the availability of a variety of tools and databases, we found all of them fall short when applied to real-world scenarios - raising questions about their effectiveness, generalizability, and practical utility. Starting from our perspective as penetration testers, we identified three main problems with existing solutions in vulnerability identification: Accuracy and completeness of results - Many tools exhibit limited precision and recall, often depending on a single data source (e.g. NVD) and overlooking critical indicators such as known exploits or patch history. Rigid input requirements - Most solutions enforce strict formatting constraints (e.g., requiring exact CPEs), creating usability and reliability issues when dealing with diverse or incomplete data. Lack of usable outputs - The inability to meaningfully export or integrate results into broader workflows hampers both manual and automated security processes. In order to solve these challenges, we developed the open-source tool search_vulns. It leverages information from multiple data sources and uses text comparison techniques and CPEs in combination to increase accuracy in software identification. Due to this approach, it can even automatically generate CPEs that have yet to be published. Together with its custom logic for version comparison, this further enhances the quality of results. Finally, search_vulns provides a fine-granular export of results in different formats. In conclusion, this talk aims to simplify the surprising complexity of finding known vulnerabilities in software. To do so, we discuss common challenges in mapping software names to CPEs, e.g. for product rebrandings, single-version vulnerabilities and yet to be published software versions. In addition, we present an approach using multiple data sources in combination to enrich CVE data with information on known exploits, likelihood of exploitability (EPSS) and other data sources. Finally, we present search_vulns as open-source tool. Licensed to the public under https://creativecommons.org/licenses/by-sa/4.0/ about this event: https://c3voc.de
…
continue reading
3373 Episoden
Alle Folgen
×
Willkommen auf Player FM!
Player FM scannt gerade das Web nach Podcasts mit hoher Qualität, die du genießen kannst. Es ist die beste Podcast-App und funktioniert auf Android, iPhone und im Web. Melde dich an, um Abos geräteübergreifend zu synchronisieren.
Ähnelt Chaos Computer Club - recent events feed
Jeden Tag eine App
…
continue reading
Menschen! Technik! Sensationen!
…
continue reading
Jeden Samstag das Neueste aus Computertechnik und Informationstechnologie. Beiträge, Reportagen und Interviews zu IT-Sicherheit, Informatik, Datenschutz, Smartphones, Cloud-Computing und IT-Politik. Die Trends der IT werden kompakt und informativ zusammengefasst.
…
continue reading
In dieser Serie diskutieren wir interessante Themen aus Software-Entwicklung und -Architektur – immer mit dem Fokus auf Praxistauglichkeit.
…
continue reading
Ein Podcast über alte und neue Spiele
…
continue reading
Die wöchentliche Talkrunde rund um Apple, Mac, iPod + iPhone, Gadgets und so. Fast live aus München.
…
continue reading
1
Zurück zur Zukunft - Tech-News und Business Models
Zurück zur Zukunft - Tech-News und Business Models
2k346
Nicht nostalgisch an Vergangenem kleben, sondern optimistisch die Zukunft gestalten: Zurück zur Zukunft! Denn: Institutionen werden immer versuchen, die Probleme zu erhalten, für die sie die Lösung sind (Clay Shirky). Wir fassen daher seit 2019 jede Woche die wichtigsten Entwicklungen im technologischen Umfeld zusammen und ordnen ihre Konsequenzen für Unternehmen und die Gesellschaft ein. Jeden Dienstag neu! Als Unternehmer aus Berlin befassen wir uns seit 1995 intensiv mit dem Internet und ...
…
continue reading
Immer donnerstags live um 17 Uhr sprechen Anna Kalinowsky, Malte Kirchner und Volker Zota von heise online bei YouTube über die Tech-Themen der Woche. Zum Nachhören gibt es die heiseshow auch als Podcast.
…
continue reading
Der manager magazin Podcast informiert aktuell über die relevantesten Themen der Wirtschaft. Redakteurinnen und Redakteure geben Einblicke in ihre Recherchen zu den wichtigsten Konzernen und Wirtschaftstrends der globalen Ökonomie. Kurzweilig, informativ und in jedem Fall hilfreich für Ihre Karriere.
…
continue reading
Der abwechslungsreichste Spiele-Podcast der Welt. Mit Anne, Micha, Manu, Michi und illustren Gästen aus der Videospielbranche. Meinungen, Interviews und Croissants.
…
continue reading
Player FM - Podcast-App
Gehen Sie mit der App Player FM offline!
Gehen Sie mit der App Player FM offline!
