CVE（Common Vulnerabilities and Exposures）的全稱是公共漏洞和暴露，是公開披露的網絡安全漏洞列表。IT人員、安全研究人員查閱CVE獲取漏洞的詳細信息，進而根據漏洞評分確定漏洞解決的優(yōu)先級。

CVE如何形成的

CVE這個組織最初由麻省理工學院在1999年建立，是一個非營利性組織，CVE漏洞信息由CVE組織機構的網站承載，網站上的CVE信息是公開的，可以在法律許可前提下免費使用。每個漏洞都被分配一個稱為CVE標識符的編號，編號格式為“CVE-年份-編號”。CVE的發(fā)布主體是CVE編號機構CNA，當前大約有100個CNA，由來自世界各地的IT供應商、安全公司和安全研究組織組成。CNA主要根據如下規(guī)則判定是否為漏洞分配CVE編號：

漏洞可獨立修復，與其他漏洞沒有耦合。

軟件或硬件供應商承認此漏洞的存在或有書面公告。

漏洞只影響一個代碼庫，如果漏洞影響多個產品，則為每個產品獨立分配CVE編號。

每個CVE條目主要包含以下信息：

描述：漏洞的來源、攻擊方式等簡要描述。

參考：漏洞的相關參考信息鏈接匯總，如漏洞公告、緊急響應建議等。

發(fā)布的CNA：發(fā)布此CVE的CNA。

發(fā)布日期：此CVE的發(fā)布日期。

CVE有什么作用

如果沒有CVE，每個IT供應商或安全組織都維護自己的漏洞數據庫，數據無法共享，大家對漏洞的認識也不統(tǒng)一。CVE為漏洞賦予唯一編號并標準化漏洞描述，主要作用如下：

IT人員、安全研究人員基于相同的語言理解漏洞信息、確定修復漏洞的優(yōu)先級并努力解決漏洞。

不同的系統(tǒng)之間可基于CVE編號交換信息。

安全產品或工具開發(fā)者可將CVE作為基線，評估產品的漏洞檢測覆蓋范圍。

CVE與CVSS的關系

通用漏洞評估系統(tǒng)（Common Vulnerability Scoring System，CVSS）是廣泛應用的漏洞評分開放標準。CVSS的分值代表漏洞的嚴重程度，分值范圍為0.0到10.0，數字越大漏洞的嚴重程度越高。CVSS評分往往是漏掃工具、安全分析工具不可或缺的信息。CVE單純是漏洞的字典庫，CVE列表中不包含CVSS分值，需要使用其他漏洞管理系統(tǒng)查閱CVSS分值。IT人員結合CVE信息和CVSS確定漏洞解決優(yōu)先級。

CVE在安全產品中的應用

安全產品在開發(fā)過程中需要緊跟CVE漏洞信息，使產品盡可能多地檢測CVE漏洞，保護用戶網絡安全。

根據CVE信息快速更新簽名庫

IPS功能基于簽名庫檢測入侵行為，簽名庫中簽名的一類主要來源就是漏洞簽名。安全團隊使用CVE跟蹤最新漏洞，快速推出新簽名，甚至在IT供應商推出修復程序之前阻斷攻擊保護用戶網絡。

日志報表集成CVE信息

在入侵事件的日志報表中，攻擊詳情中包含漏洞對應的CVE編號、參考鏈接，用戶可以據此深入了解漏洞詳細信息并制定安全措施。

安全中心發(fā)布IPS威脅知識庫

安全中心基于CVE、CVSS評分等信息向用戶發(fā)布更詳細的IPS威脅知識庫，其中包括漏洞級別、修復建議等信息。

編輯：jq