CVE
本文约需 2 分钟阅读
CVE (Common Vulnerabilities and Exposures) 是为公开披露的安全漏洞分配唯一标识编号的国际命名规则。它由年份和序号组成,例如「 CVE-2024-12345 」,可在不同厂商和工具之间准确引用同一个漏洞。 MITRE Corporation 于 1999 年开始运营,截至 2025 年累计已登记超过 27 万个 CVE,每年的新增登记数量也呈上升趋势。
现场使用案例
“当 CVE-2024-3094 (xz Utils 的后门) 被公开时,漏洞管理团队比对 SBOM,在 2 小时内确定了影响范围。由于 CVSS 评分 10.0 被判定为 Critical,我们当天就将所有服务器的软件包降级了。”
CVE 生命周期
历史与原理
在 CVE 制度诞生之前,同一个漏洞会被各厂商赋予不同的名称,导致信息共享出现混乱。 CVE 编号由名为 CNA (CVE Numbering Authority) 的认证机构发放。 Google、Microsoft、Red Hat 等主要厂商作为自家产品的 CNA,拥有独立分配 CVE 编号的权限。漏洞的严重程度通过 CVSS (Common Vulnerability Scoring System) 以 0.0 至 10.0 的分数评估, 9.0 以上被归类为「 Critical 」。漏洞管理入门书 (Amazon)可以系统地学习。
实务中的运用
在补丁管理的现场,以 CVE 编号为基准来决定应对的优先级。重要的是不仅看 CVSS 评分,还要综合判断攻击代码 (Exploit) 是否已实际公开、是否符合自家环境。请定期在 NVD (National Vulnerability Database) 和 JVN (Japan Vulnerability Notes) 上确认 CVE 信息,并结合威胁情报,以实现迅速的应对。用强随机密码保护对漏洞管理工具的访问、防止篡改补丁应用状态也很重要。安全信息管理书籍 (Amazon)也很有参考价值。
这篇文章对您有帮助吗?