CVE 标识符(又名 CVE ID)用于唯一标识特定漏洞。我们都在各种公告中看到过它们,它们在研究问题时很有用。但他们是如何分配的?获取错误的 CVE ID 涉及哪些流程,供应商如何适应该流程?任何人都可以一时兴起索要 CVE ID,还是需要一些证据或细节?
如何分配和管理 CVE 标识符?
信息安全
已知漏洞
cve
2021-08-30 05:18:26
2个回答
有多种方法可以获得 CVE。
可以联系 CVE 编号机构 (CNA)、应急响应团队(想想 CERT)或 CVE 项目之一。如果产品的供应商被列为 CNA,您必须联系供应商以获取 CVE。
必须提供足够的信息以允许 CVE 分配者做出决定(提供 CVE、与其他 CVE 合并等)。
有关更多信息,请参阅http://cve.mitre.org/cve/request_id.html和http://cve.mitre.org/cve/cna.html#researcher_risk
一些供应商(例如 Drupal)将通过 openwall 批量请求 CVE 标识符,以获取尚未有研究人员请求的 CVE 的已发布安全公告。
只是一个更新,这个过程正在改变,除了“基于证据”的 CVE 之外,还会有“基于请求”的 CVE(老实说,这已经是我已经为我发布的 5000 个 CVE 中的几个所做的实践,当然我信任的人会正确提出请求,我不需要很多证据,因为他们有正确提出 CVE 请求的历史)。
其它你可能感兴趣的问题