O projekcie CVEbaza.pl

Niezależny portal monitorujący publicznie ujawnione podatności bezpieczeństwa (CVE) z naciskiem na praktyczną użyteczność dla polskiego rynku.

Misja

Codziennie publikowane są setki nowych podatności CVE — opisy w bazie NVD są jednak po angielsku i często bardzo techniczne. Dla polskich administratorów, działów security, audytorów oraz osób odpowiedzialnych za zgodność z NIS2 stanowi to barierę językową i interpretacyjną.

CVEbaza.pl powstała, żeby zlikwidować tę barierę: dostarczamy publicznie ujawnione informacje o podatnościach w czytelnej polskiej wersji, wzbogacone o praktyczne wskazówki mitygacji i kontekst regulacyjny.

Dla kogo

  • Administratorzy IT i systemowi — szybka ocena czy podatność dotyczy ich infrastruktury
  • Działy security / SOC — codzienny monitoring nowych zagrożeń
  • Audytorzy i osoby odpowiedzialne za zgodność — przygotowanie dokumentacji NIS2, KSC, ISO 27001
  • Zarząd i osoby decyzyjne — zrozumiałe streszczenia ryzyk bez konieczności zagłębiania się w żargon
  • Studenci i pasjonaci cyberbezpieczeństwa — nauka w natywnym języku

Jak działa

Cały pipeline jest zautomatyzowany:

  1. Pozyskiwanie danych — codziennie pobieramy nowe CVE z oficjalnego API NVD (National Vulnerability Database)
  2. Wzbogacanie — automatyczne tagowanie (RCE, XSS, SQL injection, ...), wykrywanie CISA KEV, identyfikacja produktów (CPE)
  3. Tłumaczenie AI — krytyczne i wysokie podatności otrzymują pełną kartę analityczną w języku polskim, generowaną przez model językowy z weryfikacją źródeł
  4. Walidacja — system odrzuca niekompletne tłumaczenia i poddaje je ponownej generacji
  5. Moderacja społecznościowa — użytkownicy mogą zgłaszać poprawki i dodatkowy kontekst

Technologia

  • Backend: Python (FastAPI), PostgreSQL
  • Frontend: Next.js, React
  • Tłumaczenia: Anthropic Claude API
  • Hosting: niezależny VPS w Polsce (Cyber Folks)
  • Bezpieczeństwo: SSL/TLS, fail2ban, automatyczne aktualizacje, codzienne backupy
Projekt jest świadomie niezależny i samohostowany — bez zewnętrznych trackerów, reklam zewnętrznych ani analityki naruszającej prywatność.

Źródła danych

  • NVD (National Vulnerability Database) — podstawowe źródło CVE i ocen CVSS
  • MITRE — oryginalne identyfikatory CVE i opisy
  • CISA KEV Catalog — informacje o aktywnie wykorzystywanych podatnościach
  • CPE (Common Platform Enumeration) — mapowanie podatności na produkty

Disclaimer NVD: This product uses data from the NVD API but is not endorsed or certified by the NVD.

Plany rozwoju

  • Monitoring stacku użytkownika — alerty mailowe gdy nowa podatność dotyczy używanego oprogramowania
  • Integracja z firmowymi systemami przez API
  • Tygodniowe i miesięczne raporty PDF (TOP podatności)
  • Newsletter z analizą najgroźniejszych podatności
  • Słownik terminów security w polskiej wersji
  • Profil reputacji dla contributorów (feedback)

Kontakt

Sugestie funkcji, błędy, propozycje współpracy lub po prostu komentarze — chętnie usłyszymy.

▸ KONTAKT
kontakt@cvebaza.pl

Zastrzeżenia

To nie jest porada w zakresie cyberbezpieczeństwa. Treści publikowane na CVEbaza.pl, w tym tłumaczenia generowane przez AI, mają charakter informacyjny. Mogą zawierać błędy lub nieścisłości. Zawsze weryfikuj informacje z oryginalnymi źródłami producenta i NVD przed podjęciem decyzji o aktualizacjach lub remediacji.

Projekt nie ma związku formalnego z NVD, MITRE, CISA ani żadną agencją rządową. Korzystamy z publicznie udostępnionych danych zgodnie z ich warunkami licencjonowania.