小白学安全-漏洞编号的理解 CVE/CAN/BUGTRAQ/CNCVE/CNVD/CNNVD-Toy模板网

这篇具有很好参考价值的文章主要介绍了小白学安全-漏洞编号的理解 CVE/CAN/BUGTRAQ/CNCVE/CNVD/CNNVD。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

1、以CVE开头，如CVE-1999-1046这样的

CVE的英文全称是“Common Vulnerabilities&Exposures”公共漏洞和暴露。CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字，能够帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据，尽管这些工具非常难整合在一起。这样就使得CVE成为了安全信息共享的“keyword”。假设在一个漏洞报告中指明的一个漏洞，假设有CVE名称，你就能够高速地在不论什么其他CVE兼容的数据库中找到对应修补的信息，解决安全问题。

CVE开始是由MITRE Corporation负责日常工作的。但是随着漏洞数量的增加，MITRE将漏洞编号的赋予工作转移到了其CNA（CVE Numbering Authorities）成员。CNA涵盖5类成员。目前共有69家成员单位。

1.MITRE：可为所有漏洞赋予CVE编号；

2.软件或设备厂商：如Apple、Check Point、ZTE为所报告的他们自身的漏洞分配CVE ID。该类成员目前占总数的80%以上。

3.研究机构：如Airbus，可以为第三方产品漏洞分配编号；

4.漏洞奖金项目：如HackerOne，为其覆盖的漏洞赋予CVE编号；

5.国家级或行业级CERT：如ICS-CERT、CERT/CC，与其漏洞协调角色相关的漏洞。

P.S. :所有人/团队都可以申请CVE编号，但并非所有的CVE编号都有价值。

官网： CVE - CVE (mitre.org)

2、以CAN开头，如CAN-2000-0626这样的

“CAN”和“CVE”的唯一差别是前者代表了候选条目，还未经CVE编辑委员会认可，而后者则是经过认可的条目。然后，两种类型的条目都对公众可见，条目的编号不会随着认可而改变一不过“CAN”前缀替换成了“CVE”。

官网： CVE - CVE (mitre.org)

3、BUGTRAQ

BugTraq是一个完整的对计算机安全漏洞(它们是什么，怎样利用它们，以及怎样修补它们)的公告及具体论述进行适度披露的邮件列表。

创立于1993年的Bugtraq，是在互联网兴起之前，就成立专门供讨论和分享软件漏洞信息的第一批安全或黑客邮件群组。Bugtraq的漏洞数据库也为许多安全公司草创时“借用”。1999年Bugtraq并入安全公司SecurityFocus，这家公司又于2002年被赛门铁克买下。时隔17年，2019年赛门铁克被网络企业博通买下企业安全产品和服务，其他业务包括Bugtraq、SecurityFocus则于2020年卖给了Accenture。

目前已经关闭，历史数据： Bugtraq Mailing List (seclists.org)