|
|
CVE(Common Vulnerabilities & Explosure),中文叫通用漏洞披露,是一个漏洞数据库,由MITRE公司管理和维护。每个漏洞都有一个编号,比如去年引起轰动的log4j漏洞的编号是CVE-2021-44228,编号的规则是由CVE字母加上披露年份和一个4到5位数的数字组成(CVE - CVE ID Syntax Change (Archived) (mitre.org))。
截至2022年12月14日,已经有190453个CVE记录,漏洞涵盖计算机系统各个领域,包括协议实现漏洞,软件实现漏洞,硬件漏洞。CVE的记录非常短,只是简要地描述了一下漏洞(如下图为CVE-2021-44227的CVE记录),关于漏洞的更多细节会收录在其他数据库中,包括美国国家漏洞数据库(NVD),中国国家漏洞数据库(CNVD),CERT/CC漏洞注释数据库及由供应商和其他组织维护的各种列表。通过 CVE ID,用户就能跨上述不同系统来简便地识别同一个安全缺陷。
CVE编号(ID)由CVE编号管理机构(CNA)分配。全球目前约有100个CNA,MITRE也可以直接发布CVE。任何人都可以在任何地方向CNA提交漏洞披露报告,通过CNA审核后,会为该漏洞分配一个CVE编号。
什么样的缺陷才算CVE?
只有满足一系列特定条件的缺陷才会分配 CVE ID。这些缺陷必须满足以下条件:
1. 可以单独修复。2. 已得到相关供应商的确认或已记录在案。3. 会影响某个代码库。
如何评估漏洞严重性?
通用漏洞评分系统(CVSS)是一个用来评估通用漏洞严重性的一个评分系统,漏洞评分范围为从0.0到10.0,评分越高越严重。
参考资料
一文带你快速理解CVE是什么意思?从CVE ID分配到CVE漏洞处理 |
|
发 帖
发表于 2022-12-26 21:52:15