去: CVSS分数 CPE信息 CVE列表▾ CVE搜索列表 搜索技巧 CVE请求Web表单 Web表单的帮助 PGP的关键 CVE列表文件与指导 使用条款 CNAs▾ CVE编号当局(CNAs) 参与CNAs CNA文件、政策和指导 CNA规则,3.0版本 新CNA新员工培训 幻灯片和视频 如何成为CNA吗 WGs▾ CVE工作组 自动化(AWG) CNA协调(CNACWG) 外展和通信(OCWG) CVE质量(QWG) 战略规划(SPWG) 战术(TWG) 董事会▾ CVE董事会 成员 电子邮件档案 会议档案 董事会章程 关于▾ 关于CVE 专业行为准则 CVE & NVD关系 历史 赞助商 文档和指导 常见问题 术语 万博下载包新闻和博客▾ 最新的CVE新闻万博下载包 博客 播客 日历 存档 遵循CVE 免费的CVE通讯万博下载包 CVEnew Twitter CVEannounce Twitter CVE中 CVE在LinkedIn CVEProject GitHub上 CVE在YouTube上
搜索CVE列表 下载 数据传输 更新一个CVE记录 请求CVE id
总CVE记录:210051年 注意:转换到全新的CVE网站WWW.CVE.ORG和CVE记录格式JSON正在进行中。 注意:将遗留CVE下载列表格式2024年1月1日开始逐步淘汰。 新CVE列表下载格式现在有时间。



需求和建议CVE兼容(存档)

注意:CVE兼容程序已经停止。产品清单包含在这一节中已经搬到“存档”状态。

前进:请你遵循这些CVE兼容性指南(基于这个需求文档),使你的产品或服务“CVE兼容。”

存档:

表的内容

1。定义

能力——安全工具、数据库、网站、咨询或服务,它提供了一个安全漏洞识别功能。

用户——消费者或潜在消费者的能力。

老板——功能的所有者或维护者。

安全元素——一个数据库记录、邮件、安全咨询、评估调查,签名,等等,这是与一个特定的漏洞。

存储库——一个隐式或显式安全元素的集合,支持能力,例如,一个漏洞数据库,咨询档案签名的集合在一个入侵检测系统(IDS),或网站。

工具——一个软件应用程序或设备,检查主机或网络和生产相关的信息漏洞暴露或聚合这种类型的信息,例如,漏洞扫描器、入侵检测系统、风险管理、安全信息管理、合规报表工具或服务。

任务——工具的调查、检查,签名,等,生产安全信息(即执行一些行动。,安全元素)。

地图/映射——安全元素之间关系的规范在一个存储库和CVE名称相关的元素。

审查——确定是否CVE-compatible能力的过程。

审核日期——CVE的日期内容用于确定CVE兼容性的能力。

审查机关——一个实体执行审核。横切是唯一的审查机关。

检查样品——安全元素的设置功能的存储库,审查机关用于评估准确性。

准确的百分比——安全元素的百分比在审查引用正确的CVE标识符的示例

抽样方法-审查机关的方法识别安全审查示例中的元素的集合。

样本大小——比例和/或安全元素的数量经审查机关检查。

2。高级需求

这些是所有的高级需求的能力。他们中的许多人将在后面的章节详细描述。

先决条件

2.1)业主必须是一个有效的法律实体,即。一个组织或一个特定的个体,一个有效的电话号码,电子邮件地址,和街头的邮件地址。

2.2)能力必须提供额外的价值或信息之外的CVE本身(即提供。、名称、描述、引用和相关数据)。

2.3)业主必须提供审查机关的技术联系人是谁有资格回答问题相关的映射和任何CVE-related功能的能力。

2.4)必须向公众开放的能力,或一组消费者,在生产版本。

2.5)业主必须提供审查机关,完成“CVE兼容性要求评定表”。

2.6)能力与存储库,所有者必须为审查机关提供免费获取存储库存储库这样的权威可以确定满足所有相关要求。

2.7)对于存储库的功能,业主必须允许审查机关使用存储库来识别任何必须添加到CVE漏洞。

2.8)业主必须同意遵守所有的强制CVE兼容性要求,包括强制要求特定类型的能力。

功能

2.9)能力必须允许用户使用CVE定位安全元素名称(“CVE-Searchable”)。

2.10)能力向用户呈现安全元素时,它必须允许用户获取相关的CVE名称(“CVE-Output”)。

2.11)对于存储库的功能,功能的映射到适当的CVE名称必须准确链接安全性元素(“映射精度”)。

2.12)功能的文档必须充分描述CVE CVE兼容性,和如何使用CVE-related功能的能力(“CVE-Documentation”)。

2.13)其货币的功能必须声明日期对CVE(“使用日期”)

2.14)能力必须满足特定类型的能力,任何额外的需求中指定附录A。

2.15)其分布媒体的功能必须满足所有要求,指定附录B。

2.16)能力不需要做下列:

杂项

2.17)如果能力不能满足所有的需求,那么业主不得宣传CVE-compatible。

3所示。精度

CVE兼容性只有促进数据共享能力的映射是准确的。因此,CVE-compatible功能必须满足最小精度的要求。

3.1)对于存储库的功能,存储库必须有一个准确性的90%或更大的比例。

3.2)在审查期间,业主必须纠正任何映射错误发现审查机关。

3.3)审核期结束后,业主应正确映射误差在合理的时间帧错误最初报道后,即六(6)个月内,工具和三(3)个月的在线功能和服务。

3.4)对于存储库的能力,老板应该准备和签署一份声明,业主最好的知识,没有错误的映射。

3.5)如果能力是基于或使用另一个CVE-compatible能力(“源”的能力),和业主就意识到映射错误源功能,那么业主必须向老板报告这些错误的源能力。

3.6)映射精度咨询档案必须对所有的安全元素执行归档库之后,包括档案的CVE名字的第一次使用一个安全元素。

3.7)能力必须准确反映弃用CVE的状态名称在三(3)个月在线功能和服务。

4所示。文档

下列条件适用于文档提供的能力。

4.1)文档必须包括CVE的简要描述和CVE兼容性,可以基于CVE的逐字的部分文件的网站。

4.2)文档必须描述用户如何找到个体安全能力的存储库中的元素使用CVE的名字。

4.3)文档必须描述用户如何获得CVE从单个元素的功能库名称。

4.4)如果文档包含一个索引,那么它应该包括引用CVE-related文档在术语“CVE。”

5。CVE使用日期

用户必须知道“最新”功能的存储库是对其CVE的映射。功能所有者需要显示一个映射的货币通过提供CVE信息的最后更新日期,表明部分CVE内容利用和从哪里收集CVE的内容。

5.1)每个新版本的功能必须识别CVE的最近日期的内容是用于创建或更新映射至少以下之一:改变日志,新特性列表,帮助文件或其他机制。能力是“最新”这一天。

5.2)每一个新版本的功能必须是最新的关于规定的CVE日期不超过三(3)个月的功能是提供给用户。如果能力不能满足这个要求,那就是“过时的”。

5.3)业主必须宣传如何迅速将更新功能的存储库包括新的CVE信息。

5.4)业主必须描述选择CVE标准及机制的信息包括在他们的能力。

5.5)业主必须描述是从哪里收集新的CVE内容的。

6。不同风格的CVE名字的支持

独立能力必须与CVE函数名称的格式CVE名称的表示能力,是否使用旧风格四位数CVE ID语法或四位数或higher-digit CVE ID语法(CVE ID语法修改后用于使用在2013年12月31日)。

6.1)如果一个用户执行一个搜索使用YYYY-NNNN YYYY-NNNNN,或YYYY-NNNNNN能力必须返回安全CVE-YYYY-NNNN相对应的元素,CVE-YYYY-NNNNN,或CVE-YYYY-NNNNNN分别无论CVE名CVE或可以作为其名称的第一部分,在功能的存储库。

6.2)如果能力包含CVE-YYYY-NNNN CVE的名字,但是用户搜索使用旧格式的CVE名字,CAN-YYYY-NNNN (CVE之前使用命名方案修改了2005年10月19日),那么应该返回CVE-YYYY-NNNN能力。

7所示。撤销CVE兼容性

7.1)如果一个审查当局已经证实CVE-compatible能力,但在稍后的时间审查机关有证据表明需求没有得到满足,然后审查机关可以撤销其批准。

安装7.1.1)检查机关必须确定具体的需求没有得到满足。

7.2)审查机关必须决定如果所有者的行为或声称是“故意误导。”

7.2.1)审查机关可以解释这个短语“故意误导”的愿望。

7.3)除非推荐的两个CVE编委会成员没有利益冲突,审查机关不应考虑撤销CVE兼容性为特定的功能通常每隔六(6)个月。

预警和评估

7.4)审查机关必须提供的功能所有者和技术POC的警告前至少两(2)个月撤销撤销计划发生。

7.4.1)如果审查机关发现主人的动作或声称是故意误导,然后审查机关可以跳过警告。

7.5)如果业主认为,需求得到满足,那么所有者可能回应撤销提供具体细节的警告表明为什么满足要求的能力的问题。

7.6)如果业主修改的功能,使它符合要求问题预警期间,然后审查机关应该结束的撤销行动能力。

撤销

7.7)审查机关撤销的日期可能会推迟。

7.8)检查机关必须宣传CVE兼容性被撤销的功能。

7.9)如果审查机关发现店主的行为对CVE兼容性要求是故意误导,然后撤销应持续至少一年。

7.10)审查机关宣传撤销的原因。

7.11)如果撤销批准,业主不得申请一个新的审查期间撤销。

8。审查机关

对于任何权威评论进行的评论:

8.1)审查机关必须审查CVE兼容的能力对一个特定的CVE内容日期,即。评审日期。

8.2)审查机关必须清楚地确定审核日期是用来确定兼容性的能力。

8.3)审查机关必须清楚地确定CVE兼容性的版本需求文档,用于确定兼容性的能力。

8.4)检查机关必须定义和发布一个样本的大小。

8.4.1)审查机关应该使用的样本大小50元素+ 5%的功能库,400个元素的最大样本量。

8.4.2)审查机关审查能力的存储库中每一个元素。

8.5)检查机关必须宣传抽样法。

8.6)审查机关使用审核样本不是随机选择。

8.7)审查机关必须使用相同的抽样方法和样本容量评估的所有功能在同一时间框架。

附录A:特定类型的需求

由于各种功能使用CVE,某些类型的功能可能具有独特的特性,需要特别注意对CVE兼容性。

. 1)能力必须满足所有的额外需求相关的特定类型的能力。

A.1.1)如果能力是漏洞评估扫描仪,入侵检测系统(IDS),或产品于一体的一个或多个扫描仪和IDS的结果,那么它必须满足工具需求,A.2.1 A.2.8。

A.1.2)如果能力是一个服务(如管理入侵检测和响应服务,或远程扫描服务)那么它必须满足安全服务需求,A.3.1 A.3.5。

A.1.3)如果能力是一个在线的弱点或签名数据库,基于web的档案,或维护/补丁站点,那么它必须满足在线功能需求,A.4.1 A.4.3。

A.1.4)如果能力是一个类似于安全信息聚合工具经理,合规报告工具,或服务提供这些类型的漏洞类型信息的聚合,那么它必须满足聚合能力需求,A.5.1 A.5.6。

工具需求

A.2.1)该工具必须允许用户使用CVE名称来定位相关任务的工具(“CVE-Searchable”)通过提供至少以下之一:“发现”或“搜索”功能,之间的映射工具的任务名称和CVE名称,或另一个机制。

A.2.2)任何的报告,该报告将个人安全元素,该工具必须允许用户确定为这些元素相关的CVE名称(“CVE-Output”)通过至少一个:包括CVE名称直接在报告中,提供一个之间的映射工具的任务名称和CVE名称,或使用一些其他的机制。

A.2.3)所需的报告或映射中指定的媒体要求必须满足附录B。

A.2.4)工具,或所有者,应向用户提供所有CVE的列表名称与工具的相关任务。

A.2.5)该工具应该允许用户选择一组任务通过提供一个文件,其中包含CVE名称的列表。

A.2.6)的接口工具应该允许用户浏览、选择和取消选择一组任务通过使用个人CVE的名字。

A.2.7)如果该工具没有相关联的任务与CVE名称指定的用户在A.2.5或A.2.6工具需求,那么这个工具应该通知用户不能执行相关任务。

A.2.8)业主必须保证(1)误报率小于100%,即。如果工具报告特定的安全元素,它至少是有时是正确的,和(2)的假阴性率小于100%,即。如果一个事件发生时,有关一个特定的安全元素,然后有时候工具报告事件。

安全服务需求

安全服务可以使用CVE-compatible工具在他们的工作,但是他们可能不会为他们的客户提供直接访问这些工具。因此,客户可能难以识别和比较不同的服务的能力。安全服务需求解决这个潜在的限制。

A.3.1)安全服务必须能够使用CVE名字告诉用户哪些安全元素进行测试或检测到的服务(“CVE-Searchable”)通过一个或多个以下:为用户提供的CVE名称列表识别元素测试或检测到服务,为用户提供服务的元素之间的映射和CVE名称,对用户提供的CVE列表名称确定的CVE名称测试或检测到服务,或使用一些其他的机制。

A.3.2)任何的报告,该报告将个人安全元素,服务必须允许用户确定为这些元素相关的CVE名称(“CVE-Output”)通过一个或多个以下:允许用户直接在报告中包括CVE的名字,为用户提供一个安全元素之间的映射和CVE名称,或使用一些其他的机制。

A.3.3)所需的报告或映射,所提供的服务必须满足在指定的媒体需求附录B。

A.3.4)如果服务为用户提供直接访问的产品标识安全元素,那么该产品应该CVE-compatible。

A.3.5)业主必须保证(1)误报率小于100%,即。报告一个特定的安全元素,如果一个工具,它至少是有时是正确的,和(2)的假阴性率小于100%,即。如果一个事件发生时,有关一个特定的安全元素,然后有时服务报告,事件。

在线功能需求

A.4.1)在线功能必须允许用户找到相关安全元素从在线功能的存储库(“CVE-Searchable”)通过提供以下之一:一个搜索函数返回CVE名称相关元素,每个元素映射链接及其相关CVE名称(s)或其他机制。

A.4.1.1)在线功能应该提供一个URL“模板”,允许一个计算机程序方便地构造一个链接,访问网络中搜索功能A.4.1能力需求。

例子:
http://www.example.com/cgi-bin/db-search.cgi?cvename=CVE-YYYY-NNNN
http://www.example.com/cgi-bin/db-search.cgi?cvename=CVE-YYYY-NNNNN
http://www.example.com/cgi-bin/db-search.cgi?cvename=CVE-YYYY-NNNNNN
http://www.example.com/cve/CVE-YYYY-NNNN.html
http://www.example.com/cve/CVE-YYYY-NNNNN.html
http://www.example.com/cve/CVE-YYYY-NNNNNN.html

A.4.1.2)如果URL模板是CGI程序,这个程序应该接受HTTP“得到”的方法。

A.4.2)任何的报告,该报告将个人安全元素,在线功能必须允许用户确定为这些元素相关的CVE名称(“CVE-Output”)通过至少以下之一:通过允许用户直接在报告中包括CVE的名字,为用户提供一个安全元素之间的映射和CVE名称,或一些其他的机制。

A.4.3)如果在线功能不提供个人安全细节元素,然后在线功能必须提供映射链接每个元素及其相关CVE名称(s)。

聚合能力需求

A.5.1)聚合能力必须允许用户使用CVE名称来定位相关元素的能力(“CVE-Searchable”)通过提供至少以下之一:“发现”或“搜索”功能,该功能之间的映射的名称和CVE名称,或另一个机制审查机关批准。

A.5.2)任何的报告,该报告将个人安全元素,聚合能力必须允许用户确定为这些元素相关的CVE名称(“CVE-Output”)通过至少一个:包括CVE名称直接在报告中,提供一个功能的名称和CVE名称之间的映射,或者使用一些其他的机制。

A.5.3)所需的报告或映射中指定的媒体要求必须满足附录B。

A.5.4)工具,或所有者,应向用户提供所有CVE的列表名称与工具的相关任务。

A.5.5)该工具应该允许用户选择一组任务通过提供一个文件,其中包含CVE名称的列表。

A.5.6)的接口工具应该允许用户浏览、选择和取消选择一组任务通过使用个人CVE的名字。

附录B:媒体的需求

责任)使用媒体分布CVE-compatible能力必须使用媒体格式,包括在本附录。

B.2)媒体格式,格式必须满足特定的要求。

电子文档(HTML、文字处理机、PDF、ASCII文本,等等)。

B.3.1)文件必须在一个常见的格式,有读者,支持一个“发现”或“搜索”功能(“CVE-Searchable”),如生的ASCII文本、HTML或PDF。

B.3.2)如果文档仅为个人提供短名称或标题元素,那么它必须列出这些元素相关的CVE名称(“CVE-Output”)。

B.3.3)文档应该包括从元素映射到CVE的名字,这对每个元素列出相应的页面。

图形用户界面(GUI)

B.4.1)GUI必须为用户提供搜索功能,允许用户输入CVE名称和检索相关的元素(“CVE-Searchable”)。

B.4.2)如果GUI列出细节对于一个单独的元素,那么它必须列出CVE名称(或姓名)映射到该元素(“CVE-Output”)。否则,GUI必须为用户提供映射满足B.3.1电子文件的格式要求。

B.4.3)GUI应该允许用户导出或访问CVE-related另一种格式的数据,满足B.3.1电子文档的需求。

了解更多关于CVE兼容性