常见漏洞和暴露 (CVE) 术语表是由 MITRE 公司维护并由美国国土安全部资助的软件安全项目。 

MITRE 并未将 CVE 项目定义为数据库。相反，CVE 充当公开漏洞和暴露情况的字典或术语表，提供行业基线以促进围绕每个漏洞的清晰沟通。目标是为安全建议、数据库和错误跟踪器提供一种通用语言，用于交流同一漏洞。  

该项目使用 SCAP（安全内容自动化协议）收集有关安全漏洞和暴露的信息，并使用标识符和唯一 ID 对它们进行编目。NVD（国家漏洞数据库）在发布到 MITRE 漏洞数据库几天后，就会发布带有相应安全分析的 CVE。

这是有关黑客攻击的广泛指南系列的一部分。

在本文中：

• CVE 术语表的工作原理
• 如何将漏洞或暴露添加到 CVE 中？
• CVE 和 CVSS
• CVE 安全优势和限制

CVE 术语表的工作原理

CVE 术语表包含一个条目列表，每个条目都包含唯一的 ID 号、公共参考和描述。每个 CVE 指的是一个特定的暴露或漏洞，定义如下： 

• 安全漏洞——软件代码中的错误，使威胁行为者能够直接访问网络或系统。直接访问使参与者能够充当具有完全权限的超级用户或系统管理员。 
• 暴露——为威胁行为者提供对系统或网络的间接访问的缺陷。间接访问使参与者能够收集信息。

CVE 项目提供了一个用于识别和管理暴露和漏洞的系统。以下是创建 CVE 列表的方式：

• 开发人员、组织或代码作者识别暴露或漏洞。
• CVE 编号机构 (CNA) 指定暴露或漏洞的 CVE ID 编号。
• CNA 对具体问题进行了简要描述并包含参考文献。说明 
• 最终的 CVE 条目将添加到 CVE 术语表中并发布在 CVE 网站上。

请注意，CVE 描述不包括技术信息、有关修复的详细信息或有关缺陷的特定影响的数据。此信息由美国 NVD（国家漏洞数据库）和 CERT/CC 漏洞注释数据库等数据库提供。NVD 提供基于 CVSS 的分数、有关修复的信息以及缓解所需的其他详细信息。

如何将漏洞或暴露添加到 CVE 中？

CVE 项目从许多来源接收报告，包括研究人员、供应商和用户，并将这些信息发送给 CNA。供应商通常会对已发现的缺陷保密，直到开发或测试修复程序为止，以尽量减少被利用的可能性。

该项目与代表安全和 IT 供应商及研究实体的约 100 个 CNA 合作。CNA 负责分配 CVE ID、编写带有参考文献的简短描述，并将条目发布到 CVE 网站上。MITRE Corporation 还可以颁发 CVE 标识符。

CNA 根据每个缺陷满足的一组标准分配 CVE 标识符：

• 可独立修复——可以独立于其他错误修复流程。
• 由供应商承认或记录– 受影响的供应商已承认该缺陷并承认它对安全性产生负面影响。或者，记者分享了一份漏洞报告，详细说明了该缺陷的负面影响，并表明它违反了受影响网络或系统的安全策略。
• 影响一个代码库——影响多个产品的缺陷会获得一个单独的 CVE ID。仅当共享代码无法在不使软件易受攻击的情况下使用时，影响共享库、标准或协议的缺陷才会获得单个 CVE。否则，每个受影响的产品或代码库都会获得一个唯一的 CVE。

CVE 和 CVSS

CVE 促进与其他服务和产品的集成，使 CVE 术语表以多种人类和机器可读的格式提供。CVSS（通用漏洞评分系统）利用 CVE 术语表为漏洞管理计划增加价值。

CVSS 是一种标准，它使用 CVE 术语表和其他来源生成数字分数来反映漏洞的严重性。组织利用 CVSS 来确定漏洞的优先级并评估漏洞管理计划。

CVE 安全优势和限制

以下是 CVE 项目的主要优势：

• 评估——组织、软件供应商和安全实体使用 CVE 术语表作为评估安全工具的基准。CVE 标识符可帮助组织了解每个工具的覆盖范围并确定它是否适合其用例。
• 通信— CVE ID 使组织能够从多个数据源快速获取有关特定暴露或漏洞的准确信息，并有效协调所有工作，确定优先级并处理问题。
• 识别——安全建议在监控已知攻击特征时使用 CVE ID 和详细信息。它使这些工具能够准确、快速地识别已知的漏洞和漏洞。 

以下是 CVE 项目的主要限制：

• 信息很少——按照设计，CVE 旨在充当漏洞数据库。它仅提供 ID、简要说明以及更多信息的参考。它不包括运行完整的漏洞管理程序所需的所有信息。
• 与未修补的软件相关– CVE 列出了在未修补的软件中发现的漏洞。基于风险的现代漏洞管理方法认识到其他类型的漏洞可能会引入不符合 CVE 定义且未在 CVE 术语表中列出的风险。