3.1公共漏洞与暴露

“公共漏洞与暴露”（CVE）是一个项目，旨在识别、定义和编目公开披露的影响软件或硬件的网络安全漏洞。作为一个组织，CVE涉及国际研究人员和组织的参与，这些合作伙伴帮助发现和发布漏洞，并以标准化格式描述这些漏洞。CVE项目和概念的起源可以追溯到1999年1月由David Mann和Steven Christey撰写的一份MITRE白皮书，标题为“Towards a Common Enumeration of Vulnerabilities”（https://cve.mitre.org/docs/docs-2000/cerias.html）。这份白皮书描述了当时的网络安全格局，其中包括多个独立的漏洞数据库，它们具有独特的格式、标准和分类法。白皮书的作者解释了这如何影响互操作性和漏洞信息的共享。在互操作性的障碍中，他们提到了不一致的命名约定、管理来自不同来源的类似信息，以及数据库之间映射的复杂性。

为了促进安全软件工具之间的互操作性，提出了CVE作为一个标准化列表，帮助列举所有已知漏洞，分配标准的唯一名称，并且开放和共享没有限制。

这一努力在20多年的时间里已经成为行业的基石，来自35多个国家的200多个组织参与了这一项目，CVE系统收录了超过200,000个漏洞。参与组织被称为CVE编号授权机构（CNA；www.cve.org/PartnerInformation/ListofPartners）。CNA包括软件供应商、开源软件项目、漏洞赏金服务提供商和研究人员。它们被CVE项目授权，可以为漏洞分配唯一的CVE ID，并将CVE记录发布到CVE列表中。组织可以申请成为CNA，但必须满足特定要求，例如具有公开的漏洞披露政策、具有漏洞披露的公开来源，并同意CVE使用条款（www.cve.org/Legal/TermsOfUse）。

在第一章“软件供应链威胁的背景”中，我们讨论了国家漏洞数据库（NVD），尽管NVD和CVE之间有密切合作，但它们是不同的项目。CVE起源于MITRE，现在是一个由社区驱动的合作努力。而NVD由国家标准与技术研究所（NIST）发起。两个项目都由美国国土安全部和网络安全基础设施安全局（CISA）赞助，并免费供公众使用。CVE表现为一组漏洞记录，包括识别号码、描述和公开引用，而NVD是一个与CVE列表同步的数据库，以确保已披露的CVE和NVD记录之间的一致性。NVD提供了额外的信息，如修复方法、严重性评分和影响评级。NVD还通过高级元数据和字段使CVE可被搜索。

CVE由几个工作组组成，每个工作组都有不同的重点领域，包括自动化、战略规划、协调和质量。这些工作组致力于改进整个CVE项目并提升其对社区的价值和质量。除了工作组外，CVE还设有CVE项目委员会，以确保项目满足全球网络安全和技术社区的需求（www.cve.org/Resources/Roles/Board/General/Board-Charter.pdf）。该委员会负责监督项目，引导其战略方向，并在社区中推广。

一些与CVE项目相关的基本术语包括：

■ 漏洞
■ CVE标识符
■ 范围
■ CVE列表
■ CVE标识符
■ 范围CVE记录

CVE将漏洞定义为软件、固件或硬件中的缺陷，这些缺陷由于可以被利用而对受影响组件的机密性、完整性和可用性（CIA）三元组产生负面影响。CVE标识符（CVE ID）是由CVE项目分配给特定漏洞的唯一字母数字标识符，使得多个方可以自动化处理和共同讨论这些漏洞。范围是指CVE项目内的组织对特定硬件或软件集的独特责任。CVE列表是由CVE项目识别或报告的CVE记录的总目录。CVE记录提供与CVE ID相关的漏洞的描述性数据，由CNA提供。CVE记录可以是保留的、发布的或拒绝的。保留状态是指由CNA保留的初始状态，发布状态是指CNA填写数据后成为CVE记录的状态，拒绝状态是指CVE ID和记录不应再使用但仍在CVE列表中作为无效CVE记录的未来参考。

CVE记录也经历一个定义好的生命周期。这个生命周期包括发现、报告、请求、保留、提交和发布的阶段（见图3.1）。最初，某个组织发现一个新漏洞，向CVE项目或参与者报告，并请求一个CVE ID，该ID在保留期间由CVE项目参与者提交相关详细信息。最后，CVE记录被发布供公众下载和查看，以便在需要时开始适当的响应活动。

自CVE项目成立以来，CVE项目和CVE记录列表呈线性增长。根据发布的CVE记录统计数据（www.cve.org/About/Metrics），截至本文撰写时，每季度发布的CVE记录从几百个增长到超过6000个。这是由于项目的日益普及、安全研究人员的增加、软件供应商参与的增加以及网络安全的整体增长和可见性。