HPI-VDB ist das Ergebnis von Forschungsarbeiten bei unserem Lehrstuhl ''Internet-Technologien und -Systeme'' am Hasso-Plattner-Institut. Es ist eine umfassende und selbst aktualisierende Datenbank, die eine große Anzahl bekannter Sicherheitslücken von Software enthält. Die Software-Sicherheitsanfälligkeiten werden im Internet gesammelt, ausgewertet, normalisiert und in einer hoch-performanten Datenbank zentralisiert. Die textbasierten Fehlerbeschreibungen über jede Softwareverwundbarkeit werden aus öffentlichen Portalen anderer Datenbanken, von Softwareherstellern und aus anderen Quellen erzeugt. Ein struk-turiertes Datenmodell verwaltet diese Einträge und macht sie maschinenlesbar der Öffentlichkeit zugänglich. Daraus ergeben sich dann mehrere interessante Zugriffmöglichkeiten, z. B.:

• Browsing;
• Suche;
• Selbst-Diagnose;
• Attack-Graphen und weiteres

Darüber hinaus bieten wir verschiedene APIs für Softwareentwickler an, um unsere Datenbank an ihre Systeme an- und einzubinden.

• Strukturierte Darstellung bekannter Sicherheitslücken;
• API für Programme der Sicherheit Analytik und vielen anderen Zweck
• Such-Funktionalität mit CVE-ID, CWE-ID, CPE-ID, Volltext-, ...
• Addon Services (Login erforderlich): Erstellung von Exporten, Selbstdiagnose, Angriffsgraphen, ...
• Tägliche Aktualisierungen, um die neuesten veröffentlichten / bestätigten Verwundbarkeiten zu importieren
• am 10. Okt. 2015, wurden bereits 71.920 Schwachstellen und über 174.480 Programme registriert
• Statistik, Visualisierung und Analyse

• F. Cheng, S. Roschke, Ch. Meinel, An Integrated Network Scanning Tool for Attack Graph Construction, in Proceedings of the 6th International Conference on Grid and Pervasive Computing (GPC'11), Springer LNCS 6646, Oulu, Finland, May 11-13, 2011.
• S. Roschke, F. Cheng, Ch. Meinel, Using Vulnerability Information and Attack Graphs for Intrusion Detection , in Proceedings of the 6th International Conference on Information Assurance and Security(IAS'10), IEEE Press, Atlanta, USA, August 23-25, 2010.
• F. Cheng, S. Roschke, R. Schuppenies, Ch. Meinel, Remodeling Vulnerability Information, in Post-Proceedings (selected revised paper) of the 5th SKLOIS Conference on Information Security and Cryptology (INSCRYPT'09), Springer LNCS 6151. Beijing, China. December 12 - 15, 2009.
• S. Roschke, F. Cheng, R. Schuppenies, Ch. Meinel, Towards Unifying Vulnerability Information for Attack Graph Construction, in Proceedings of the 12th  Information Security Conference (ISC'09), Springer LNCS 5735, Pisa, Italy, September 7 - 9, 2009.
• Robert Schuppenies, MSc.: Automatic Extraction of Vulnerability Information for Attack Graphs, HPI Master Thesis,Mar. 2009, 

IT-Security Engineering Team
Hasso-Plattner-Institute
Prof.-Dr.-Helmert-Str. 2-3
D-14482 Potsdam
Tel.: +49 (0) 331 / 5509-222
Fax.: +49 (0) 331 / 5509-325
Email: hpi-vdb(at)hpi.uni-potsdam.de

Das HPI-VDB-Portal sowie die einschlägigen Forschungsarbeiten sind non-Profit. Die Daten und Dienste sind alle kostenlos und dürfen nur für den persönlichen und nicht kommerziellen Gebrauch verwendet werden. Wir danken:

• Frühere Mitglieder des Teams: Robert Schuppenies und Sebastian Roschke (mittlerweile angestellt bei Google Inc., in Mountain View, USA), für ihre explorativen Erkenntnisse in diesem Projekt;
• HPI Master-Studenten-Team: Marian Gawron, Anton Gulenko, Patrick Schulze, Gary Yao, für die Entwicklung des ersten Prototyps von HPI-VDB;
• SAP SE und HPI FutureSoC Lab bietet für uns die Hard-und Software, insbesondere die mo-derne HPI HANA-Datenbank;
• vielen anderen öffentlichen SDBs und Softwareanbieter, z. B. NVD, OSVDB, Secunia, CERT, OVAL, SecurityFocus, Microsoft Security Bulletins, Google Security Notes, SAP Security Notes, usw.