跳转到主要内容

CVE

本文约需 2 分钟阅读

CVE (Common Vulnerabilities and Exposures) 是为公开披露的安全漏洞分配唯一标识编号的国际命名规则。它由年份和序号组成,例如「 CVE-2024-12345 」,可在不同厂商和工具之间准确引用同一个漏洞。 MITRE Corporation 于 1999 年开始运营,截至 2025 年累计已登记超过 27 万个 CVE,每年的新增登记数量也呈上升趋势。

现场使用案例

“当 CVE-2024-3094 (xz Utils 的后门) 被公开时,漏洞管理团队比对 SBOM,在 2 小时内确定了影响范围。由于 CVSS 评分 10.0 被判定为 Critical,我们当天就将所有服务器的软件包降级了。”

CVE 生命周期

发现漏洞 (研究者、厂商、漏洞赏金)
CNA 预留并分配 CVE 编号
厂商开发修复补丁
在 NVD / JVN 公开 CVE 信息 (附 CVSS 评分)
各组织实施补丁应用与风险评估

历史与原理

在 CVE 制度诞生之前,同一个漏洞会被各厂商赋予不同的名称,导致信息共享出现混乱。 CVE 编号由名为 CNA (CVE Numbering Authority) 的认证机构发放。 Google、Microsoft、Red Hat 等主要厂商作为自家产品的 CNA,拥有独立分配 CVE 编号的权限。漏洞的严重程度通过 CVSS (Common Vulnerability Scoring System) 以 0.0 至 10.0 的分数评估, 9.0 以上被归类为「 Critical 」。漏洞管理入门书 (Amazon)可以系统地学习。

实务中的运用

补丁管理的现场,以 CVE 编号为基准来决定应对的优先级。重要的是不仅看 CVSS 评分,还要综合判断攻击代码 (Exploit) 是否已实际公开、是否符合自家环境。请定期在 NVD (National Vulnerability Database) 和 JVN (Japan Vulnerability Notes) 上确认 CVE 信息,并结合威胁情报,以实现迅速的应对。用强随机密码保护对漏洞管理工具的访问、防止篡改补丁应用状态也很重要。安全信息管理书籍 (Amazon)也很有参考价值。

相关术语

这篇文章对您有帮助吗?

XHatena