cve换域名了，从mitre独立出来了。 新域名https://www.cve.org/ 。重新学习一下cve编号知识。

概述

CVE（Common Vulnerabilities and Exposures，通用漏洞和披露）是一个列出了已公开披露的计算机安全缺陷的系统。提到CVE，通常指的是已分配CVE ID编号的安全缺陷。供应商和研究人员发布的安全公告几乎总会提到至少一个CVE ID。CVE帮助IT专业人员协调工作，轻松确定漏洞优先级并处理，从而提高计算机系统的安全性。

CVE系统的工作原理

CVE计划由MITRE Corporation监管，资金由美国国土安全局下属的网络安全和基础设施安全局（CISA）提供。CVE条目非常简短，不包含技术数据、风险、影响和修复信息。这些详细信息收录在其他数据库中，如美国国家漏洞数据库（NVD）、CERT/CC漏洞注释数据库以及由供应商和其他组织维护的各种列表。

CVE ID为用户提供了一种可靠的方式来识别独特的漏洞，并协调安全工具和解决方案的开发。MITRE Corporation维护CVE列表，但成为CVE条目的安全漏洞通常由开源社区的组织和成员提交。

关于CVE识别号

CVE识别号由CVE编号管理机构（CNA）分配。全球约有100个CNA，包括各大IT供应商（如红帽、IBM、思科、Oracle和微软）以及安全公司和研究组织。MITRE也可以直接发布CVE。MITRE向每个CNA发放一个CVE编号池，用于在发现新问题时将编号分配至新问题。每年有数千个CVE ID发放出来，单个复杂产品（如操作系统）可能会累积数百个CVE。

任何人都可以报告CVE。无论是供应商、研究人员还是机敏的用户，都有可能发现缺陷并促使他人关注。很多供应商提供错误报告奖励，以鼓励相关人员负责任地披露安全问题。发现开源软件存在漏洞时，应将其提交至相关社区。

通过各种渠道，该缺陷的信息最终会传至CNA。CNA会为这些信息分配CVE ID，编写简短描述并附上参考资料。然后，新CVE会被发布到CVE网站上。通常在公开安全公告之前分配CVE ID。供应商一般会对安全缺陷保密，直至相关修复完成开发和测试，以降低未修补漏洞被攻击的风险。

什么样的缺陷才算CVE？

只有满足以下条件的缺陷才会分配CVE ID：

1. 可以单独修复：该缺陷可以独立于所有其他错误进行修复。
2. 已得到相关供应商的确认或已记录在案：软件或硬件供应商已确认错误，并承认其会对安全性造成负面影响。或者，报告者应共享相关漏洞报告，表明错误会造成负面影响，并有悖于受影响系统的安全策略。
3. 会影响某个代码库：如果缺陷会对多个产品造成影响，则会获得单独的CVE。对于共享的库、协议或标准，只有在使用共享代码会容易受到攻击时，该缺陷才会获得单个CVE。否则，每个受影响的代码库或产品都会获得一个唯一的CVE。

通用漏洞评分系统（CVSS）

漏洞的严重性可以通过多种方式评估，其中一种是使用通用漏洞评分系统（CVSS）。CVSS是一组用于为漏洞分配数值以评估其严重性的开放标准。NVD、CERT等机构使用CVSS评分来评估漏洞影响，评分范围为0.0到10.0，数值越大代表漏洞越严重。许多安全供应商也创建了自己的评分系统。

CVE的误解

1. CVE编号表示漏洞的严重性 很多人误以为CVE编号本身就代表了漏洞的严重性。然而，CVE编号只是一个标识符，用于唯一标识某个具体的漏洞，并不包含任何关于该漏洞严重性的具体信息。漏洞的严重性通常由CVSS（Common Vulnerability Scoring System，通用漏洞评分系统）评分来表示。

2. CVE包含所有漏洞的详细信息 CVE条目中通常只包含漏洞的基本信息，例如漏洞的描述、影响的产品和版本等。详细的技术信息和解决方案通常需要查看供应商的安全公告或其他安全报告。CVE主要作为一个索引工具，而非全面的信息资源。

3. 一个漏洞只能有一个CVE编号 一个实际的漏洞可能会影响多个产品或多个版本，这可能导致为同一漏洞申请多个CVE编号。虽然CVE的目的是唯一标识漏洞，但实际操作中，有时会因复杂的影响范围而出现多个CVE编号的情况。

4. CVE编号由任意组织分配 CVE编号的分配是由MITRE公司协调的，并不是任意组织都可以自行分配CVE编号。MITRE通过CNA（CVE Numbering Authorities，CVE编号授权机构）网络分发CVE编号，CNA包括各大软件厂商、安全组织等。

5. CVE系统可以自动捕获和报告所有漏洞 CVE系统并不是自动化的漏洞检测和报告工具。它依赖于研究人员、厂商和安全组织主动提交漏洞信息。CVE系统的维护和更新是一个协作过程，需要各方的积极参与。

6. CVE一旦发布，漏洞就解决了 获得CVE编号并不意味着漏洞已经得到修复。CVE编号仅仅是对漏洞的识别。漏洞修复的责任在于受影响的厂商或开发者，他们需要发布相应的补丁或解决方案。

7. 所有漏洞都有CVE编号 并不是所有的漏洞都拥有CVE编号。许多漏洞可能因为没有被报告或不符合CVE的收录标准而没有CVE编号。CVE数据库涵盖了大量的漏洞，但不是全部。

8. CVE编号是唯一的安全标识 虽然CVE是广泛认可的漏洞标识系统，但还有其他类似系统，如NVD（National Vulnerability Database，国家漏洞数据库）和其他国家或地区的漏洞数据库。这些系统可能使用不同的编号或名称来标识漏洞。

9. CVE编号分配是即时的 由于漏洞报告的数量庞大，CVE编号的分配需要一定的时间。有时，漏洞报告和CVE编号的分配之间会有时间差，尤其是在漏洞被公开后。

10. CVE只能描述软件漏洞 尽管CVE主要用于描述软件漏洞，但它也可以用于标识硬件、固件和网络配置方面的安全问题。CVE的范围并不仅限于软件领域。

11. CVE编号越高表示漏洞越新 CVE编号是按年度和顺序分配的，并不意味着编号越高的漏洞就越新。一个编号高的CVE可能会描述较早发现但迟交的漏洞。

12. CVE编号能明确说明漏洞被利用的情况 CVE条目通常不包含关于漏洞被利用（Exploit）的详细信息。被利用的情况通常需要通过其他安全报告或研究来获取。

通过理解和澄清这些常见的误解，我们可以更准确地利用CVE系统，为信息安全工作提供更有效的支持。CVE作为一种标准化的漏洞标识工具，在信息安全领域发挥着重要作用，但正确的理解和使用它也同样重要。