小白学安全-漏洞编号的理解 CVE/CAN/BUGTRAQ/CNCVE/CNVD/CNNVD

1、以CVE开头，如CVE-1999-1046这样的

  CVE的英文全称是“Common Vulnerabilities&Exposures”公共漏洞和暴露。CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字，能够帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据，尽管这些工具非常难整合在一起。这样就使得CVE成为了安全信息共享的“keyword”。假设在一个漏洞报告中指明的一个漏洞，假设有CVE名称，你就能够高速地在不论什么其他CVE兼容的数据库中找到对应修补的信息，解决安全问题。

  CVE开始是由MITRE Corporation负责日常工作的。但是随着漏洞数量的增加，MITRE将漏洞编号的赋予工作转移到了其CNA（CVE Numbering Authorities）成员。CNA涵盖5类成员。目前共有69家成员单位。

  1.MITRE：可为所有漏洞赋予CVE编号；

  2.软件或设备厂商：如Apple、Check Point、ZTE为所报告的他们自身的漏洞分配CVE ID。该类成员目前占总数的80%以上。

  3.研究机构：如Airbus，可以为第三方产品漏洞分配编号；

  4.漏洞奖金项目：如HackerOne，为其覆盖的漏洞赋予CVE编号；

  5.国家级或行业级CERT：如ICS-CERT、CERT/CC，与其漏洞协调角色相关的漏洞。

  P.S. :所有人/团队都可以申请CVE编号，但并非所有的CVE编号都有价值。

  官网： CVE - CVE (mitre.org)

2、以CAN开头，如CAN-2000-0626这样的

  “CAN”和“CVE”的唯一差别是前者代表了候选条目，还未经CVE编辑委员会认可，而后者则是经过认可的条目。然后，两种类型的条目都对公众可见，条目的编号不会随着认可而改变一不过“CAN”前缀替换成了“CVE”。

   官网： CVE - CVE (mitre.org)

3、BUGTRAQ

  BugTraq是一个完整的对计算机安全漏洞(它们是什么，怎样利用它们，以及怎样修补它们)的公告及具体论述进行适度披露的邮件列表。

  创立于1993年的Bugtraq，是在互联网兴起之前，就成立专门供讨论和分享软件漏洞信息的第一批安全或黑客邮件群组。Bugtraq的漏洞数据库也为许多安全公司草创时“借用”。1999年Bugtraq并入安全公司SecurityFocus，这家公司又于2002年被赛门铁克买下。时隔17年，2019年赛门铁克被网络企业博通买下企业安全产品和服务，其他业务包括Bugtraq、SecurityFocus则于2020年卖给了Accenture。

 目前已经关闭，历史数据： Bugtraq Mailing List (seclists.org)

4、以CNCVE开头，如CNCVE-20000629

  CNCVE就是中国(CN)的CVE，是CNCERT/CC(国家计算机网络应急处理协调中心)为漏洞进行编号的一个自己的标准，即国家计算机网络应急处理协调中心

(CNCERT/CC)领导下，国内正在组建自己的CVE组织。CNCVE的组建目的就是建设一个具有中国特色的，能为国内广大用户服务的CVE组织。国际CVE组织不过描写叙述漏洞的主要特征，统一命名漏洞。CNCVE不但包括漏洞的描写叙述予以统一定义，还将包括漏洞的补丁、验证等措施，更方便、实用。

5、以CNVD开头，如CNVD-2014-0282

  CNVD是国家信息安全漏洞共享平台。是由国家计算机网络应急技术处理协调中心

(简称CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库，漏洞编号规则为CNVD-XXXX- xxxXX。

 官网： 国家信息安全漏洞共享平台 (cnvd.org.cn)

6、以CNNVD开头，如CNNVD-201404-530

  CNNVD是中国国家信息安全漏洞库，漏洞编号规则为CNNVD-xxxxxx-xxx。是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能，负责建设运维的国家信息安全漏洞库，为我国信息安全保障提供基础服务。

 官网： 国家信息安全漏洞库

持续更新