IP知识百科之CVE

CVE（Common Vulnerabilities and Exposures）的全称是公共漏洞和暴露，是公开披露的网络安全漏洞列表。IT人员、安全研究人员查阅CVE获取漏洞的详细信息，进而根据漏洞评分确定漏洞解决的优先级。

CVE如何形成的

CVE这个组织最初由麻省理工学院在1999年建立，是一个非营利性组织，CVE漏洞信息由CVE组织机构的网站承载，网站上的CVE信息是公开的，可以在法律许可前提下免费使用。每个漏洞都被分配一个称为CVE标识符的编号，编号格式为“CVE-年份-编号”。CVE的发布主体是CVE编号机构CNA，当前大约有100个CNA，由来自世界各地的IT供应商、安全公司和安全研究组织组成。CNA主要根据如下规则判定是否为漏洞分配CVE编号：

漏洞可独立修复，与其他漏洞没有耦合。

软件或硬件供应商承认此漏洞的存在或有书面公告。

漏洞只影响一个代码库，如果漏洞影响多个产品，则为每个产品独立分配CVE编号。

每个CVE条目主要包含以下信息：

描述：漏洞的来源、攻击方式等简要描述。

参考：漏洞的相关参考信息链接汇总，如漏洞公告、紧急响应建议等。

发布的CNA：发布此CVE的CNA。

发布日期：此CVE的发布日期。

CVE有什么作用

如果没有CVE，每个IT供应商或安全组织都维护自己的漏洞数据库，数据无法共享，大家对漏洞的认识也不统一。CVE为漏洞赋予唯一编号并标准化漏洞描述，主要作用如下：

IT人员、安全研究人员基于相同的语言理解漏洞信息、确定修复漏洞的优先级并努力解决漏洞。

不同的系统之间可基于CVE编号交换信息。

安全产品或工具开发者可将CVE作为基线，评估产品的漏洞检测覆盖范围。

CVE与CVSS的关系

通用漏洞评估系统（Common Vulnerability Scoring System，CVSS）是广泛应用的漏洞评分开放标准。CVSS的分值代表漏洞的严重程度，分值范围为0.0到10.0，数字越大漏洞的严重程度越高。CVSS评分往往是漏扫工具、安全分析工具不可或缺的信息。CVE单纯是漏洞的字典库，CVE列表中不包含CVSS分值，需要使用其他漏洞管理系统查阅CVSS分值。IT人员结合CVE信息和CVSS确定漏洞解决优先级。

CVE在安全产品中的应用

安全产品在开发过程中需要紧跟CVE漏洞信息，使产品尽可能多地检测CVE漏洞，保护用户网络安全。

根据CVE信息快速更新签名库

IPS功能基于签名库检测入侵行为，签名库中签名的一类主要来源就是漏洞签名。安全团队使用CVE跟踪最新漏洞，快速推出新签名，甚至在IT供应商推出修复程序之前阻断攻击保护用户网络。

日志报表集成CVE信息

在入侵事件的日志报表中，攻击详情中包含漏洞对应的CVE编号、参考链接，用户可以据此深入了解漏洞详细信息并制定安全措施。

安全中心发布IPS威胁知识库

安全中心基于CVE、CVSS评分等信息向用户发布更详细的IPS威胁知识库，其中包括漏洞级别、修复建议等信息。

编辑：jq