什么是CVE？

CVE如何形成的？

CVE漏洞信息由CVE组织机构的网站承载（https://cve.mitre.org/），CVE这个组织最初由麻省理工学院在1999年建立，是一个非营利性组织。网站上的CVE信息是公开的，可以在法律许可前提下免费使用。

每个漏洞都被分配一个称为CVE标识符的编号，编号格式为“CVE-年份-编号”，例如CVE-2019-0708代表远程桌面服务远程代码执行漏洞。

CVE的发布主体是CVE编号机构（CVE Numbering Authority，CNA），当前大约有100个CNA，由来自世界各地的IT供应商、安全公司和安全研究组织组成。任何机构或个人都可以向CNA提交漏洞报告，CNA对应的组织往往也会鼓励人们寻找漏洞，以增强产品的安全性。

不是所有漏洞都能被录入CVE，CNA主要根据如下规则判定是否为漏洞分配CVE编号：

• 漏洞可独立修复，与其他漏洞没有耦合。
• 软件或硬件供应商承认此漏洞的存在或有书面公告。
• 漏洞只影响一个代码库，如果漏洞影响多个产品，则为每个产品独立分配CVE编号。

经过上述判断，如果可以分配编号则编写描述信息并发布到CVE网站。每个CVE条目主要包含以下信息：

• 描述：漏洞的来源、攻击方式等简要描述。
• 参考：漏洞的相关参考信息链接汇总，例如供应商的漏洞公告、紧急响应建议等。
• 发布的CNA：发布此CVE的CNA。
• 发布日期：此CVE的发布日期。

综上，CVE机构通过与CNA合作，识别、定义、公开发布网络安全漏洞，形成漏洞信息行业标准。

CVE有什么作用？

如果没有CVE，每个IT供应商或安全组织都维护自己的漏洞数据库，数据无法共享，大家对漏洞的认识也不统一。CVE为漏洞赋予唯一编号并标准化漏洞描述，主要作用如下：

• IT人员、安全研究人员基于相同的语言理解漏洞信息、确定修复漏洞的优先级并努力解决漏洞。
• 不同的系统之间可以基于CVE编号交换信息。
• 安全产品或安全工具开发者可以将CVE作为基线，评估产品的漏洞检测覆盖范围。

有的人可能会认为公开披露漏洞会给黑客带来可乘之机，黑客会利用这些漏洞发起攻击。其实利大于弊，首先CVE只公开已知的漏洞，不管是否有CVE，黑客都能获取漏洞信息；其次漏洞详细信息和修复建议可以暂时隐藏，只分配编号，直到IT供应商发布补丁等修复程序；最后漏洞信息在整个行业的共享可以加快修复建议的推出。

建议在安全产品或工具的安全事件报告等内容中包含CVE编号信息，这样使用该安全产品或工具的人员可以迅速获取网络中存在的漏洞信息，并根据漏洞修复建议解决问题。

当然CVE网站中的信息比较简要，CVE主要用于给漏洞指定身份。更多的修复建议、影响、评分等信息需要直接到IT供应商网站、其他漏洞数据库获取。但是不可否认，CVE编号是这些信息的串联者，基于CVE编号可以快速检索到漏洞信息。

CVE与CVSS的关系

通用漏洞评估系统（Common Vulnerability Scoring System，CVSS）是广泛应用的漏洞评分开放标准。CVSS的分值代表漏洞的严重程度，分值范围为0.0到10.0，数字越大漏洞的严重程度越高。CVSS评分往往是漏扫工具、安全分析工具不可或缺的信息。

CVE单纯是漏洞的字典库，CVE列表中不包含CVSS分值，需要使用其他漏洞管理系统（例如https://www.cvedetails.com/）查阅CVSS分值。IT人员结合CVE信息和CVSS确定漏洞解决优先级。

CVE在安全产品中的应用

安全产品在开发过程中需要紧跟CVE漏洞信息，使产品尽可能多地检测CVE漏洞，保护用户网络安全。

根据CVE信息快速更新签名库

IPS功能基于签名库检测入侵行为，签名库中签名的一类主要来源就是漏洞签名。安全团队使用CVE跟踪最新漏洞，快速推出新签名，甚至在IT供应商推出修复程序之前阻断攻击保护用户网络。

日志报表集成CVE信息

在入侵事件的日志报表中，攻击详情中包含漏洞对应的CVE编号、参考链接，用户可以据此深入了解漏洞详细信息并制定安全措施。

安全中心发布IPS威胁知识库

安全中心基于CVE、CVSS评分等信息向用户发布更详细的IPS威胁知识库，其中包括漏洞级别、修复建议等信息。