小白学安全-漏洞编号的理解 CVE/CAN/BUGTRAQ/CNCVE/CNVD/CNNVD
1、以CVE开头,如CVE-1999-1046这样的
CVE的英文全称是“Common Vulnerabilities&Exposures”公共漏洞和袒露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经袒露出来的弱点给出一个公共的名称。使用一个共同的名字,能够帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据,尽管这些工具非常难整合在一起。这样就使得CVE成为了安全信息共享的“keyword”。假设在一个漏洞报告中指明的一个漏洞,假设有CVE名称,你就能够高速地在岂论什么其他CVE兼容的数据库中找到对应修补的信息,办理安全问题。
CVE开始是由MITRE Corporation负责日常工作的。但是随着漏洞数量的增长,MITRE将漏洞编号的赋予工作转移到了其CNA(CVE Numbering Authorities)成员。CNA涵盖5类成员。现在共有69家成员单元。
1.MITRE:可为全部漏洞赋予CVE编号;
2.软件或装备厂商:如Apple、Check Point、ZTE为所报告的他们自身的漏洞分配CVE ID。该类成员现在占总数的80%以上。
3.研究机构:如Airbus,可以为第三方产品漏洞分配编号;
4.漏洞奖金项目:如HackerOne,为其覆盖的漏洞赋予CVE编号;
5.国家级或行业级CERT:如ICS-CERT、CERT/CC,与其漏洞协调脚色相关的漏洞。
P.S. :全部人/团队都可以申请CVE编号,但并非全部的CVE编号都有价值。
官网: CVE - CVE (mitre.org)
2、以CAN开头,如CAN-2000-0626这样的
“CAN”和“CVE”的唯一差别是前者代表了候选条目,还未经CVE编辑委员会认可,而后者则是经过认可的条目。然后,两种类型的条目都对公众可见,条目的编号不会随着认可而改变一不外“CAN”前缀更换成了“CVE”。
官网: CVE - CVE (mitre.org)
3、BUGTRAQ
BugTraq是一个完整的对计算机安全漏洞(它们是什么,怎样利用它们,以及怎样修补它们)的公告及具体叙述举行适度披露的邮件列表。
创立于1993年的Bugtraq,是在互联网兴起之前,就成立专门供讨论和分享软件漏洞信息的第一批安全或黑客邮件群组。Bugtraq的漏洞数据库也为许多安全公司草创时“借用”。1999年Bugtraq并入安全公司SecurityFocus,这家公司又于2002年被赛门铁克买下。时隔17年,2019年赛门铁克被网络企业博通买下企业安全产品和服务,其他业务包括Bugtraq、SecurityFocus则于2020年卖给了Accenture。
现在已经关闭,汗青数据: Bugtraq Mailing List (seclists.org)
4、以CNCVE开头,如CNCVE-20000629
CNCVE就是中国(CN)的CVE,是CNCERT/CC(国家计算机网络应急处理处罚协调中心)为漏洞举行编号的一个本身的尺度,即国家计算机网络应急处理处罚协调中心
(CNCERT/CC)向导下,国内正在组建本身的CVE组织。CNCVE的组建目的就是建设一个具有中国特色的,能为国内广大用户服务的CVE组织。国际CVE组织不外描写叙述漏洞的主要特性,统一命名漏洞。CNCVE不但包括漏洞的描写叙述予以统肯定义,还将包括漏洞的补丁、验证等步伐,更方便、实用。
5、以CNVD开头,如CNVD-2014-0282
CNVD是国家信息安全漏洞共享平台。是由国家计算机网络应急技能处理处罚协调中心
(简称CNCERT)连合国内告急信息体系单元、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,漏洞编号规则为CNVD-XXXX- xxxXX。
官网: 国家信息安全漏洞共享平台 (cnvd.org.cn)
6、以CNNVD开头,如CNNVD-201404-530
CNNVD是中国国家信息安全漏洞库,漏洞编号规则为CNNVD-xxxxxx-xxx。是中国信息安全测评中心为切实推行漏洞分析和风险评估的职能,负责建设运维的国家信息安全漏洞库,为我国信息安全保障提供基础服务。
官网: 国家信息安全漏洞库
连续更新
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]