Entry № 289
CVE Numbering Authority (CNA)
CVE Numbering Authority (CNA) 是什么?
CVE Numbering Authority (CNA)由 CVE 计划授权,在其规定的范围内为漏洞分配 CVE ID 并发布 CVE 记录的组织。
CVE 编号机构(CNA)是 CVE 计划授权的组织,该计划由 MITRE Corporation 协调、由 CISA 赞助。CNA 在所定义的范围内为影响特定产品或项目的漏洞分配 CVE ID 并发布 CVE 记录。CNA 包括厂商、开源项目、漏洞赏金平台、国家级 CERT 以及研究机构。每个 CNA 须遵守 CNA Rules,执行协调披露的时间线,并通过 CVE Services API 将记录(CVE JSON 5.x)提交到 CVE List。顶层的 Root CNA(例如 CISA-ICS 或 MITRE)负责协调并仲裁其层级下子 CNA 之间的争议。CNA 是 CVE 条目进入全球漏洞生态的入口。
● 示例
- 01
软件厂商成为 CNA,以便为自家产品的漏洞分配 CVE ID。
- 02
漏洞赏金平台作为 CNA of Last Resort,为研究人员上报的漏洞分配 CVE ID。
● 常见问题
CVE Numbering Authority (CNA) 是什么?
由 CVE 计划授权,在其规定的范围内为漏洞分配 CVE ID 并发布 CVE 记录的组织。 它属于网络安全的 合规与框架 分类。
CVE Numbering Authority (CNA) 是什么意思?
由 CVE 计划授权,在其规定的范围内为漏洞分配 CVE ID 并发布 CVE 记录的组织。
如何防御 CVE Numbering Authority (CNA)?
针对 CVE Numbering Authority (CNA) 的防御通常结合技术控制与运营实践,详见上方完整定义。
CVE Numbering Authority (CNA) 还有哪些其他名称?
常见的别称包括: CNA。