CVE(通用漏洞披露).

CVE 是由 MITRE 于 1999 年发起、并由美国 CISA/DHS 提供联邦资助的项目,为公开披露的漏洞分配全球唯一标识符(例如 CVE-2014-0160)。每条记录包含简短描述、相关公告链接以及受影响的产品范围。编号分配采用联邦化机制,分散在数百个 CVE 编号机构(CNA) 之间——包括厂商、开源项目和协调中心,它们在各自的授权范围内分配编号。

CVE 本身不评估严重性;CVSS、EPSS 和 CISA 的 KEV 列表是叠加在其之上的。一个常被忽视的实用细节:编号语法于 2015 年 1 月起发生了变化。旧的 CVE-YYYY-NNNN 格式将每年的记录数上限为 9,999 条,因此现在允许使用任意长度的数字(故有 CVE-2021-44228)。记录现以 JSON 形式通过 cve.org 上的 CVE Services 发布,取代了旧版的纯文本 "CVE List"。

该项目的脆弱性在 2025 年 4 月暴露无遗,当时 MITRE 警告其 DHS 合同将于 16 日到期;CISA 在最后关头发布了为期 11 个月的延期,到 2026 年 1 月,委员会报告称不再存在所谓的"资金断崖"。安全团队利用 CVE 编号,将扫描结果、厂商补丁、威胁情报和 SBOM 数据关联到统一的修复流程中。

flowchart LR
  R[研究人员或厂商发现缺陷] --> C[CNA 预留 CVE 编号]
  C --> P[cve.org 上公开的 CVE 记录]
  P --> N[NVD 与 CVSS 信息补充]
  N --> E[EPSS 评分与 CISA KEV 核对]
  E --> D[防御方排定优先级并修补]