什么是CPE？CPE是由哪個組織定義和維護的？CPE主要用途是什么？CPE共有多少個條目？CPE由哪幾部分組成？如何申請CPE條目？讀完本文你將收獲所有答案。如還有其他相關疑問，歡迎留言討論。

1. 簡介

1.1. 定義

通用平臺枚舉（Common Platform Enumeration，簡稱，CPE）是描述和識別企業(yè)計算資產(chǎn)中存在的應用程序、操作系統(tǒng)和硬件設備類別的標準化方法，它提供了一個標準的機器可讀的格式，利用這個格式可以對IT產(chǎn)品和平臺進行唯一編碼。CPE字典當前最新的版本為2.3，發(fā)布于2011年7月29日，該字典以XML格式提供，由NIST托管和維護，公眾可以免費使用?？梢渣c擊下載Official CPE Dictionary v2.3, gz format - 16.27 MB, Updated: 03/04/2023

1.2. 應用場景

IT管理工具可以收集有關已安裝產(chǎn)品的信息，使用其CPE名稱標識這些產(chǎn)品，然后使用這些標準化信息來幫助對資產(chǎn)進行自動化決策。例如，識別fastjson 1.2.70版本的存在可能會觸發(fā)漏洞管理工具來檢查系統(tǒng)中是否存在軟件中的已知漏洞。

Note: 一句話總結(jié)，CPE名稱主要是用作標準化信息源，可用于實施和驗證IT管理策略，尤其是安全策略。

2. 命名規(guī)范

CPE名稱的命名主要由7部分組成，某些字段可以留空，規(guī)則如下：
cpe:<part>:<vendor>:<product>:<version>:<update>:<edition>:<language>

解釋：

• part：這只能采用三個值：
  a表示應用/軟件；
  h表示硬件平臺；
  o表示操作系統(tǒng)
• vendor：供應商
• product：產(chǎn)品名稱
• version：發(fā)布版本，此屬性的值應為供應商發(fā)布產(chǎn)品的字母、數(shù)字組成的版本字符串；
• update：更新版本，此屬性的值應為字母、數(shù)字組成的字符串，表示產(chǎn)品的特定更新、服務包，如sp3；
• edition：在2.3版本規(guī)范中不推薦使用，除非需要與CPE規(guī)范2.2版向后兼容，否則應為其分配邏輯值ANY；
• language：該屬性的值應為[RFC5646]定義的有效語言標簽，并應用于定義所描述產(chǎn)品的用戶界面中支持的語言，如en，us等。

有些細心的讀者會發(fā)現(xiàn)CPE除了上面7部分，還有更多部分構(gòu)成，這些部分被稱為擴展部分。關于CPE每個部分的詳情介紹可以參閱官方論文《Common Platform Enumeration: Naming Specification Version 2.3》點擊下載。

2.1. 檢索CPE

可以在NVD官網(wǎng)上查詢到CPE信息https://nvd.nist.gov/products/cpe/search，比如開源軟件FastJson 1.2.70對應的part部分為a

操作系統(tǒng)CenterOS 7.6對應的part部分為o

3. 申請?zhí)砑覥PE條目

主要通過向cpe_dictionary@nist.gov發(fā)送郵件的方式來添加CPE新條目。郵件中需要包括指向權威（最好是供應商）信息的超鏈接等，以證明字典中名稱的實例化是正確的。然后對這些條目進行分析，并用字典中現(xiàn)有的CPE名稱條目進行規(guī)范化。如果提交中的任何CPE名稱條目被修改，NIST會首先向提交者發(fā)送郵件通知，以確認更改是否可接受。一旦達成協(xié)議，這些條目將被添加到字典中。

4. 常見問題

4.1. version中經(jīng)常出現(xiàn)的"*“和”-"是什么意思？

“*” 表示ANY（任何版本），“-“ 表示N/A（不涉及版本）

5. 參考

https://nvd.nist.gov/general/faq
https://csrc.nist.gov/projects/security-content-automation-protocol/specifications/cpe
https://nvd.nist.gov/products/cpe
https://nmap.org/book/output-formats-cpe.html文章來源地址http://www.zghlxwxcb.cn/news/detail-463310.html

到了這里，關于【網(wǎng)絡安全常用術語解讀】CPE詳解的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！