[转][RedHat]什么是 CVE?

概述

CVE 是通用漏洞披露（Common Vulnerabilities and Exposures）的英文缩写，列出了已公开披露的各种计算机安全缺陷。人们提到 CVE，指的都是已分配 CVE ID 编号的安全缺陷。

供应商和研究人员发布的安全公告几乎总会提到至少一个 CVE ID。CVE 可以帮助 IT 专业人员协调自己的工作，轻松地确定漏洞的优先级并加以处理，从而提高计算机系统的安全性。

CVE 系统的工作原理

CVE 由 MITRE corporation 监管，由美国国土安全部下属的网络安全和基础设施安全局提供资金。

CVE 条目非常简短。条目中既没有技术数据，也不包含与风险、影响和修复有关的信息。这些详细信息会收录在其他数据库中，包括美国国家漏洞数据库（NVD）、CERT/CC 漏洞注释数据库以及由供应商和其他组织维护的各种列表。通过 CVE ID，用户就能跨上述不同系统来简便地识别同一个安全缺陷。

关于 CVE 识别号

CVE 识别号由 CVE 编号管理机构（CNA）分配。全球目前约有 100 个 CNA，包括各大 IT 供应商以及安全公司和研究组织。MITRE 也可以直接发布 CVE。

MITRE 向每个 CNA 发放了一个 CVE 编号池，用于在发现新问题时将编号连接至新问题。每年，都有数以千计的 CVE ID 发放出来。单个复杂产品（如操作系统）可能会累积数百个 CVE。

任何人都可以从任何地方进行 CVE 报告。无论是供应商、研究人员或是机敏的用户，都有可能发现缺陷，并促使他人予以关注。很多供应商都会提供错误报告奖励，以鼓励相关人员负责任地披露各种安全缺陷。如果您发现了开源软件存在漏洞，您应该将其提交至相关社区。

再通过种种渠道，该缺陷的相关信息最终会传至 CNA。CNA 进而会为这些信息分配 CVE ID，然后编写简短描述并附上参考资料。然后，CVE 条目就会被发布 CVE 网站上。

通常会在公开安全公告之前分配 CVE ID。供应商一般会对安全缺陷保密，直至相关修复已完成开发和测试。这样可以降低未修补漏洞被攻击的风险。

公布时，CVE 条目中会包含 CVE ID（格式为“cve-2019-1234567”）、安全漏洞的简短描述和相关的参考资料（可能包括漏洞报告和公告的链接）。

格式

CVE对每一个漏洞都赋予一个专属的编号，格式如下：

• CVE-YYYY-NNNN

CVE为固定的前缀字，YYYY为西元纪年，NNNN为流水编号。NNNN原则上为四位数字，不足四位时前面补0。从2014年开始，必要时可编到五位数或更多位数。由于CVE有很多个编号机构，每个编号机构使用的号段并不相同，因此NNNN可能并不连续。

以2014年发现的心脏出血漏洞为例，其编号为CVE-2014-0160。

什么样的缺陷才算 CVE？

只有满足一系列特定条件的缺陷才会分配 CVE ID。这些缺陷必须满足以下条件：

1. 可以单独修复。
   该缺陷可以独立于所有其他错误进行修复。

2. 已得到相关供应商的确认或已记录在案。
   软件或硬件供应商已确认错误，并承认其会对安全性造成负面影响。或者，报告者本应共享一份相关漏洞报告，表明错误会造成负面影响，且有悖于受影响系统的安全策略。

3. 会影响某个代码库。
   如果缺陷会对多个产品造成影响，则会获得单独的 CVE。对于共享的库、协议或标准，只有在使用共享代码会容易受到攻击时，该缺陷才会获得单个 CVE。否则，每个受影响的代码库或产品都会获得一个唯一的 CVE。

采编自 https://cve.mitre.org/cve/cna/rules.html#Section_4_1_qualifications

什么是通用漏洞评分系统？

漏洞的严重性可以通过多种方式来评估。其中的一种就是使用通用漏洞评分系统（CVSS），这是一组用于为漏洞分配数值以评估其严重性的开放标准。NVD、CERT 等机构会使用 CVSS 评分来评估漏洞的影响。评分范围为 0.0 到 10.0，数值越大代表漏洞越严重。许多安全供应商也都创建了自己的评分系统。

三大核心要点

了解自己的部署情况。存在 CVE 并不意味着您的特定环境和部署正面临风险。请务必查看各个 CVE，并验证 CVE 是否适用于（或部分适用于）您的特有环境中所用的操作系统、应用、模块和配置，确定 CVE 是否适用于您的环境。

开展漏洞管理。漏洞管理是一个可重复的过程，用于识别、分类、确定优先级、补救和解决漏洞。您要清楚自己的组织会如何遭遇风险，才能正确地为有待解决的所有重要漏洞确定优先级。

做好沟通准备。CVE 将会影响到您所在组织使用的系统，不仅漏洞本身，还因为修复漏洞可能会需要停机。您应及时与您的内部客户进行沟通和协调，并将漏洞的相关信息分享给您所在组织中的任意中央风险管理职能部门。

红帽如何处理 CVE

作为开源软件的主要贡献者，红帽一直致力于推动安全社区的发展。红帽是 CVE 编号管理机构（CNA）之一，使用 CVE ID 来跟踪安全漏洞。红帽安全部门维护了一个开放且经常更新的安全更新数据库，您可以按 CVE 编号查看这个数据库。

什么是红帽安全数据 API？

红帽产品安全部在其安全数据页面提供对原始安全数据的访问权限，并以机器可读格式提供安全数据 API。

除了红帽生成的安全报告和指标外，客户也可使用这些原始数据针对自己的独特情况生成自用指标。

安全数据 API 提供的数据包括 OVAL（开放漏洞和评估语言）定义、通用漏洞报告框架（CVRF）文件和 CVE 数据。数据通过 XML 或 JSON 格式提供。