CVE (Common Vulnerabilities and Exposures).

CVE — это программа, запущенная MITRE в 1999 году и финансируемая на федеральном уровне CISA/DHS США, которая выдаёт глобально уникальные идентификаторы (например, CVE-2014-0160) публично раскрытым уязвимостям. Каждая запись содержит краткое описание, ссылки на бюллетени и перечень затронутых продуктов. Присвоение идентификаторов распределено между сотнями CVE Numbering Authorities (CNA) — вендорами, проектами с открытым исходным кодом и координационными центрами, которые выдают идентификаторы в пределах своей зоны ответственности.

Сам CVE не оценивает критичность; CVSS, EPSS и список CISA KEV надстраиваются над ним. Практическая деталь, которую многие упускают: синтаксис идентификаторов изменился с января 2015 года. Старый формат CVE-YYYY-NNNN ограничивал каждый год 9 999 записями, поэтому теперь допускаются номера произвольной длины (отсюда CVE-2021-44228). Записи публикуются в формате JSON через CVE Services на cve.org, что вытесняет устаревший текстовый «CVE List».

Уязвимость программы проявилась в апреле 2025 года, когда MITRE предупредила, что её контракт с DHS истекает 16-го числа; CISA в последний момент продлила его на 11 месяцев, и к январю 2026 года совет программы сообщил об отсутствии дальнейшего «финансового обрыва». Команды безопасности используют CVE-идентификаторы для сопоставления результатов сканеров, патчей вендоров, киберразведки и данных SBOM в едином процессе устранения уязвимостей.

flowchart LR
  R[Исследователь или вендор находит уязвимость] --> C[CNA резервирует CVE-идентификатор]
  C --> P[Публичная запись CVE на cve.org]
  P --> N[Обогащение в NVD и CVSS]
  N --> E[Оценка EPSS и проверка по CISA KEV]
  E --> D[Защитники расставляют приоритеты и патчат]