漏洞
CVE(通用漏洞披露)
别称: CVE 编号, CVE 记录
定义
为每个已披露的软件或硬件漏洞分配唯一标识符的公共目录,使其能在全行业被明确引用。
CVE 是由 MITRE 运营、在美国 CISA 资助下的项目,为公开披露的漏洞分配全球唯一标识符(例如 CVE-2014-0160)。每条记录包含简短描述、相关公告链接以及受影响的产品范围。CVE 编号机构(CNA)如厂商和协调中心可在其授权范围内分配编号。CVE 本身不评估严重性,需结合 CVSS、EPSS 和 CISA 的 KEV 列表使用。安全团队通过 CVE 编号将扫描结果、厂商补丁、威胁情报和 SBOM 数据关联到统一的修复流程中。
示例
- CVE-2014-0160(Heartbleed):OpenSSL 心跳读取越界。
- CVE-2021-44228(Log4Shell):Log4j 通过 JNDI 查找实现远程代码执行。
相关术语
漏洞
系统、应用或流程中可被攻击者利用以破坏机密性、完整性或可用性的弱点。
CWE(通用缺陷枚举)
由社区维护的软件与硬件弱点类型分类体系,描述导致漏洞的根本性缺陷类别。
CVSS(通用漏洞评分系统)
由 FIRST 维护的开放框架,根据漏洞的利用特征和影响,为其打出 0–10 的严重性评分。
EPSS(漏洞利用预测评分系统)
由 FIRST 维护、基于数据驱动的模型,用于估计某个 CVE 在未来 30 天内被实际利用的概率。
已知被利用漏洞(KEV)
由美国 CISA 确认正在被实际利用并加入公开 KEV 目录的 CVE,会触发美国联邦机构的修复时限。
CVE Numbering Authority (CNA)
CVE Numbering Authority (CNA) — definition coming soon.