去: CVSS分数 CPE信息 CVE列表▾ CVE搜索列表 搜索技巧 CVE请求Web表单 Web表单的帮助 PGP的关键 CVE列表文件与指导 使用条款 CNAs▾ CVE编号当局(CNAs) 参与CNAs CNA文件、政策和指导 CNA规则,3.0版本 新CNA新员工培训 幻灯片和视频 如何成为CNA吗 WGs▾ CVE工作组 自动化(AWG) CNA协调(CNACWG) 外展和通信(OCWG) CVE质量(QWG) 战略规划(SPWG) 战术(TWG) 董事会▾ CVE董事会 成员 电子邮件档案 会议档案 董事会章程 关于▾ 关于CVE 专业行为准则 CVE & NVD关系 历史 赞助商 文档和指导 常见问题 术语 万博下载包新闻和博客▾ 最新的CVE新闻万博下载包 博客 播客 日历 存档 遵循CVE 免费的CVE通讯万博下载包 CVEnew Twitter CVEannounce Twitter CVE中 CVE在LinkedIn CVEProject GitHub上 CVE在YouTube上
搜索CVE列表 下载 数据传输 更新一个CVE记录 请求CVE id
总CVE记录:210092年 注意:转换到全新的CVE网站WWW.CVE.ORG和CVE记录格式JSON正在进行中。 注意:将遗留CVE下载列表格式2024年1月1日开始逐步淘汰。 新CVE列表下载格式现在有时间。



CVE兼容性指南

产品和服务可以按照以下指南“CVE兼容”。许多来自世界各地的组织已经加入CVE条目或引用CVE IDs的功能,流程,产品,服务等。

注意:前正式CVE兼容程序的声明和问卷已经停止,其产品上市已经搬到”存档”状态。CVE团队将不再接受声明或问卷。相反,下面的指导方针提供了帮助您使您的产品或服务的“CVE兼容。”

定义

能力——安全工具、数据库、网站、咨询或服务,它提供了一个安全漏洞识别功能。

用户——消费者或潜在消费者的能力。

老板——功能的所有者或维护者。

安全元素——一个数据库记录、邮件、安全咨询、评估调查,签名,等等,这是与一个特定的漏洞。

存储库——一个隐式或显式安全元素的集合,支持能力,例如,一个漏洞数据库,咨询档案签名的集合在一个入侵检测系统(IDS),或网站。

工具——一个软件应用程序或设备,检查主机或网络和生产相关的信息漏洞暴露或聚合这种类型的信息,例如,漏洞扫描器、入侵检测系统、风险管理、安全信息管理、合规报表工具或服务。

任务——工具的调查、检查,签名,等,生产安全信息(即执行一些行动。,安全元素)。

地图/映射——安全元素之间的关系的规范库和CVE标识符(CVE IDs)相关的元素。

高层次的指导方针

这些是所有能力的高层次的指导方针。他们中的许多人将在后面的章节详细描述。

先决条件

2.1)能力应该提供额外的价值或信息之外的CVE本身(即提供。CVE ID、描述、引用和相关数据)。

2.2)能力应该向公众开放,或一组消费者,在生产版本。

功能

2.3)能力应该允许用户使用CVE定位安全元素id (CVE搜索”)。

2.4)能力向用户呈现安全元素时,它应该允许用户获取相关的CVE id (CVE输出)。

2.5)对于存储库的功能,功能的映射应该准确链接安全性元素到适当的CVE id(“映射精度”)。

2.6)功能的文档应该充分描述CVE CVE兼容性,和如何使用CVE-related功能的能力(“CVE文档”)。

2.7)能力应满足任何额外的特定类型的能力,指南中指定附录A。

2.8)能力应该满足所有规定为其分配媒体,作为中指定附录B。

2.9)能力不需要做下列:

杂项

2.10)如果能力不满足所有指南,然后老板不应该宣传CVE兼容。

精度

CVE兼容性只有促进数据共享能力的映射是准确的。因此,CVE-Compatible功能应满足最小精度的要求。

3.1)对于存储库的功能,存储库应该努力一个准确性的90%或更大的比例。

3.2)如果能力是基于或使用另一个CVE-Compatible能力(“源”的能力),和业主就意识到映射错误源功能,那么所有者应该报告这些错误来源的所有者能力尽快。

3.3)映射精度咨询档案应该对所有的安全元素执行归档库之后,包括档案的CVE ID的第一次使用一个安全元素。

3.4)能力应该准确地反映弃用的状态CVE id在三(3)个月在线功能和服务。

文档

以下指南适用于文档的能力。

4.1)文档应该包括CVE的简要描述和CVE兼容性,可以基于CVE逐字的部分文件的网站。

4.2)文档应该描述用户如何能找到个体安全能力的存储库中的元素使用CVE id。

4.3)文档应该描述用户如何获取CVE id从单个元素功能的库。

4.4)如果文档包含一个索引,包括引用CVE-related文档建议在术语“CVE”。

CVE使用日期

用户必须知道“最新”功能的存储库是对其CVE的映射。映射的功能所有者应当载明货币提供了CVE信息的最后更新日期,表明部分CVE内容利用和从哪里收集CVE的内容。

5.1)每个新版本的能力应该确定CVE的最近日期的内容是用于创建或更新映射至少以下之一:改变日志,新特性列表,帮助文件或其他机制。能力是“最新”这一天。

5.2)老板应该宣传如何迅速将更新功能的存储库包括新的CVE信息。

5.3)业主应该描述选择CVE标准及机制的信息包括在他们的能力。

5.4)老板应该描述是从哪里收集新的CVE内容的。

不同风格的CVE标识符语法支持

独立能力应与CVE ID函数的格式CVE ID的表示能力,是否使用旧风格四位数CVE ID语法或四位数或higher-digit CVE ID语法(CVE ID语法修改后用于使用在2013年12月31日)。

6.1)如果一个用户执行一个搜索使用YYYY-NNNN YYYY-NNNNN,或YYYY-NNNNNN,能力应该返回安全CVE-YYYY-NNNN相对应的元素,CVE-YYYY-NNNNN或CVE-YYYY-NNNNNN分别。

附录A:特定类型的指导方针

由于各种功能使用CVE,某些类型的功能可能具有独特的特性,需要特别注意对CVE兼容性。

. 1)能力应该满足所有额外需求相关的特定类型的能力。

A.1.1)如果能力是漏洞评估扫描仪,入侵检测系统(IDS),或产品集成的结果一个或多个扫描仪和IDS,那么它应该满足工具的指导方针。

A.1.2)如果能力是一个服务(如管理入侵检测和响应服务,或远程扫描服务)那么它应该满足安全服务指南。

A.1.3)如果能力是一个在线的弱点或签名数据库,基于web的档案,或维护/补丁的网站,那么它应该满足在线功能指南。

A.1.4)如果能力是一个类似于安全信息聚合工具经理,合规报告工具,或服务提供这些类型的漏洞类型信息的聚合,那么它必须满足聚合能力的指导方针。

工具的指导方针

A.2.1)该工具允许用户应该使用CVE id定位相关任务的工具(“CVE搜索”)通过提供至少以下之一:“发现”或“搜索”功能,之间的映射工具的任务名称和CVE id,或者另一种机制。

A.2.2)任何的报告,该报告将个人安全元素,该工具允许用户确定关联的CVE id的元素(CVE输出)通过至少一个:包括CVE id直接在报告中,提供了一个工具之间的映射的任务名称和CVE id,或者使用一些其他的机制。

A.2.3)所需的报告或映射应该满足在指定的媒体需求附录B。

A.2.4)工具,或所有者,应向用户提供所有CVE id的列表与工具的相关任务。

A.2.5)该工具应该允许用户选择一组任务通过提供一个文件,它包含一个CVE id列表。

A.2.6)的接口工具应该允许用户浏览、选择和取消选择一组任务通过使用个人CVE id。

A.2.7)如果该工具没有的CVE ID相关联的任务由用户指定A.2.5或A.2.6工具需求,那么这个工具应该通知用户不能执行相关任务。

A.2.8)业主应保证(1)误报率小于100%,即。如果工具报告特定的安全元素,它至少是有时是正确的,和(2)的假阴性率小于100%,即。如果一个事件发生时,有关一个特定的安全元素,然后有时候工具报告事件。

安全服务指南

安全服务可以使用CVE-Compatible工具在他们的工作,但是他们可能不会为他们的客户提供直接访问这些工具。因此,客户可能难以识别和比较不同的服务的能力。安全服务指南解决这个潜在的限制。

A.3.1)安全服务应该能够告诉用户安全使用CVE id元素测试或检测到的服务(“CVE搜索”)通过一个或多个以下:为用户提供一个CVE id列表,确定元素测试或检测到服务,为用户提供服务的元素和CVE IDs之间的映射,对用户提供的CVE id列表通过识别的CVE IDs测试或检测到的服务,或使用一些其他的机制。

A.3.2)任何的报告,该报告将个人安全元素,服务应该允许用户确定相关的CVE名称这些元素(CVE输出)通过一个或多个以下:允许用户直接在报告中包括CVE的名字,为用户提供一个安全元素之间的映射和CVE名称,或使用一些其他的机制。

A.3.3)所需的报告或映射,提供的服务应满足在指定的媒体需求附录B。

A.3.4)如果服务为用户提供直接访问的产品标识安全元素,那么该产品应该CVE兼容。

A.3.5)业主应保证(1)误报率小于100%,即。报告一个特定的安全元素,如果一个工具,它至少是有时是正确的,和(2)的假阴性率小于100%,即。如果一个事件发生时,有关一个特定的安全元素,然后有时服务报告,事件。

在线功能指南

A.4.1)在线功能应该允许用户找到相关安全元素从在线功能的存储库(CVE搜索”)通过提供以下之一:一个搜索函数返回CVE ID相关的元素,每个元素映射链接及其相关CVE ID (s),或其他机制。

A.4.1.1)在线功能应该提供一个URL“模板”,允许一个计算机程序方便地构造一个链接,访问网络中搜索功能A.4.1能力指导方针。

例子:
https://www.example.com/cgi-bin/db-search.cgi?cvename=CVE-YYYY-NNNN
https://www.example.com/cgi-bin/db-search.cgi?cvename=CVE-YYYY-NNNNN
https://www.example.com/cgi-bin/db-search.cgi?cvename=CVE-YYYY-NNNNNN
https://www.example.com/cve/CVE-YYYY-NNNN.html
https://www.example.com/cve/CVE-YYYY-NNNNN.html
https://www.example.com/cve/CVE-YYYY-NNNNNN.html

A.4.1.2)如果URL模板是CGI程序,这个程序应该接受HTTP“得到”的方法。

A.4.2)任何的报告,该报告将个人安全元素,在线功能应该允许用户确定关联的CVE id的元素(CVE输出)通过至少以下之一:通过允许用户直接在报告中包括CVE id,为用户提供一个安全元素和CVE IDs之间的映射,或者一些其他的机制。

A.4.3)如果在线功能不提供个人安全细节元素,然后在线能力应该提供一个映射链接每个元素及其相关CVE ID (s)。

聚合能力的指导方针

A.5.1)聚合能力应该允许用户使用CVE id定位相关元素的能力(“CVE搜索”)通过提供至少以下之一:“发现”或“搜索”功能,之间的映射能力的名字和CVE id,或者另一个类似的机制。

A.5.2)任何的报告,该报告将个人安全元素,聚合能力应该允许用户确定关联的CVE id的元素(CVE输出)通过至少一个:包括CVE id直接在报告中,提供一个功能之间的映射的名称和CVE id,或者使用一些其他的机制。

A.5.3)所需的报告或映射应该满足在指定的媒体指南附录B。

A.5.4)工具,或所有者,应向用户提供所有CVE id的列表与工具的相关任务。

A.5.5)该工具应该允许用户选择一组任务通过提供一个文件,它包含一个CVE id列表。

A.5.6)的接口工具应该允许用户浏览、选择和取消选择一组任务通过使用个人CVE id。

附录B:媒体指南

责任)建议使用媒体分布CVE-Compatible功能使用的媒体格式,包括在本附录。

B.2)媒体格式应满足特定要求的格式。

电子文档

B.3.1)常用格式文档应该有读者,支持一个“发现”或“搜索”功能(CVE搜索),如生的ASCII文本、HTML或PDF。

B.3.2)如果文档仅为个人提供短名称或标题元素,那么它应该列出这些元素相关的CVE id (CVE输出)。

B.3.3)文档应该包括从元素映射到CVE id,这对每个元素列出相应的页面。

图形用户界面(GUI)

B.4.1)GUI应该为用户提供搜索功能,允许用户输入CVE ID和检索相关的元素(“CVE搜索”)。

B.4.2)如果GUI列出细节对于一个单独的元素,那么它应该CVE ID (s)列表映射到该元素(CVE输出)。否则,GUI应向用户提供一个映射满足B.3.1电子文档的格式指南。

B.4.3)GUI应该允许用户导出或访问CVE-related另一种格式的数据,满足B.3.1电子文档的指导方针。