1 前言

以網(wǎng)絡(luò)安全行業(yè)中最大的、影響范圍最廣的CVE為例。
CVE 的英文全稱是“Common Vulnerabilities & Exposures”通用漏洞披露。
CVE就好像是一個(gè)字典表，為廣泛認(rèn)同的信息安全漏洞或者已經(jīng)暴露出來的弱點(diǎn)給出一個(gè)公共的名稱。
使用一個(gè)共同的名字，可以幫助用戶在各自獨(dú)立的各種漏洞數(shù)據(jù)庫中和漏洞評(píng)估工具中共享數(shù)據(jù)，雖然這些工具很難整合在一起。這樣就使得CVE成為了安全信息共享的“關(guān)鍵字”。
如果在一個(gè)漏洞報(bào)告中指明的一個(gè)漏洞，如果有CVE名稱，你就可以快速地在任何其它CVE兼容的數(shù)據(jù)庫中找到相應(yīng)修補(bǔ)的信息，解決安全問題。

回到頂部(Back to Top)文章來源地址http://www.zghlxwxcb.cn/news/detail-725175.html

2 公共網(wǎng)絡(luò)安全漏洞庫

• CVE: Common Vulnerabilities and Exposures
  常見漏洞和暴露(CVE)/通用漏洞披露 / CVE發(fā)布源
  CVE -CVE

• CNCVE: China National Common Vulnerabilities and Exposures
  中國國家通用漏洞披露

• NVD National Vulnerability Database
  美國國家信息安全漏洞庫
  NVD - Home

• CNVD/CNNVD: China National Vulnerability Database of Information Security
  中國國家信息安全漏洞庫 (運(yùn)營方:中國信息安全測(cè)評(píng)中心)
  國家信息安全漏洞庫

• CVEDetails - The ultimate security vulnerability datasource
  CVE security vulnerability database. Security vulnerabilities, exploits, references and more

【補(bǔ)充】其它的漏洞庫

• 綠盟科技安全研究成果(漏洞檢索入口) -?NSFOCUS綠盟科技

回到頂部(Back to Top)

3 延申： CVSS(通用漏洞評(píng)分系統(tǒng))

CVSS
:= Common Vulnerability Scoring System
:= 通用漏洞評(píng)分系統(tǒng)
:= 一個(gè)“行業(yè)公開標(biāo)準(zhǔn)，其被設(shè)計(jì)用來評(píng)測(cè)漏洞的嚴(yán)重程度，并幫助確定所需反應(yīng)的緊急度和重要度”
:= 安全內(nèi)容自動(dòng)化協(xié)議（SCAP）的一部分
:= 由NIAC開發(fā)、FIRST維護(hù)的一個(gè)開放并且能夠被產(chǎn)品廠商免費(fèi)采用的網(wǎng)絡(luò)安全漏洞評(píng)分標(biāo)準(zhǔn)

通常地，CVSS同CVE一同由美國國家漏洞庫（NVD）發(fā)布、并保持?jǐn)?shù)據(jù)的更新.

• 關(guān)于評(píng)分

利用該標(biāo)準(zhǔn)————CVSS，可以對(duì)弱點(diǎn)進(jìn)行評(píng)分，進(jìn)而幫助我們判斷修復(fù)不同弱點(diǎn)的優(yōu)先等級(jí)。
它的主要目的是幫助人們建立衡量漏洞嚴(yán)重程度的標(biāo)準(zhǔn)，使得人們可以比較漏洞的嚴(yán)重程度，從而確定處理它們的優(yōu)先級(jí)。
CVSS得分基于一系列維度上的測(cè)量結(jié)果，這些測(cè)量維度被稱為量度（Metrics）。漏洞的最終得分最大為10，最小為0。

• score in [7,10]: 高危漏洞 / High / Vulnerability High
• score in [4,6.9]: 中危漏洞 / Middle / Vulnerability Middle
• score in [0,3.9]: 低危漏洞 / Low / Vulnerability Low

CVSS系統(tǒng)包括三種類型的分?jǐn)?shù)：基本分?jǐn)?shù)、暫時(shí)分、環(huán)境分
基本得分和臨時(shí)得分通常由安全產(chǎn)品賣主、供應(yīng)商給出，因?yàn)樗麄兡軌蚋忧宄牧私饴┒吹脑敿?xì)信息；

環(huán)境得分通常由用戶給出，因?yàn)樗麄兡軌蛟谧约旱氖褂铆h(huán)境下更好的評(píng)價(jià)該漏洞存在的潛在影響。

CVE Details漏洞報(bào)告

?

安全報(bào)告1(樣例圖)

?

安全報(bào)告2(樣例圖)

[CVSS 官方定義]
通用漏洞評(píng)分系統(tǒng)（CVSS）提供了一種捕獲漏洞的主要特征并產(chǎn)生反映其嚴(yán)重性的數(shù)字評(píng)分的方法。
然后，可以將數(shù)字分?jǐn)?shù)轉(zhuǎn)換為定性表示形式（例如低，中，高和關(guān)鍵），以幫助組織正確評(píng)估漏洞管理流程并確定其優(yōu)先級(jí)。

CVSS是全世界組織使用的已發(fā)布標(biāo)準(zhǔn)，SIG的使命是繼續(xù)對(duì)其進(jìn)行改進(jìn)。

回到頂部(Back to Top)

Y 2020年CCIA中國網(wǎng)絡(luò)安全競(jìng)爭(zhēng)力50強(qiáng)

有幸在2020年9/10月，處理過4輪安全漏洞報(bào)告，并閱讀過這總共3家網(wǎng)絡(luò)安全公司中的其中2家————【天融信】和【北京盛邦】的服務(wù)器安全掃描報(bào)告。
我個(gè)人的感受是：

• 用戶閱讀體驗(yàn)：北京盛邦做得更好。

例如，對(duì)全部服務(wù)器安全漏洞的整體情況，通過專門的統(tǒng)計(jì)、可視化分析圖表的形式，讓報(bào)告閱讀者(服務(wù)器維護(hù)者)一目了然。
反觀天融信的報(bào)告，則要簡(jiǎn)陋很多！

又例如，出現(xiàn)漏洞所在的依賴組件/應(yīng)用軟件/端口，盛邦的報(bào)告就直接指明了，天融信的報(bào)告則完全讀不出來，全靠讀者自己去摸排線索。

總之，讀天融信的報(bào)告，就有點(diǎn)難受。既費(fèi)時(shí)，又費(fèi)力！

• 漏洞研究(深度)：天融信做得更好。

天融信對(duì)應(yīng)用軟件中出現(xiàn)漏洞的最新版本、已修復(fù)的漏洞版本(Fix version)，能夠更及時(shí)地報(bào)告出來。

【2020年】

【2016年】

回到頂部(Back to Top)

X 推薦資源

• CVE
• 中國國家信息安全漏洞庫
• CVEDetails - CVE security vulnerability database
• VULHUB - 信息安全漏洞門戶(民營組織)
• 處理綠盟科技安全評(píng)估的系統(tǒng)漏洞 [推薦] - 博客園
• 記錄一次漏洞修復(fù)，openssh安全漏洞（CVE-2017-15906）以及openssh用戶枚舉漏洞（CVE-2018-15919）內(nèi)網(wǎng)openssh升級(jí)過程 [推薦] - 博客園
• OpenSSH 輸入驗(yàn)證錯(cuò)誤漏洞(CVE-2020-12062)漏洞修復(fù)(本人親測(cè)) [推薦] - CSDN
• WX3024H 綠盟掃描安全漏洞問題處理案例 - Zhiliao
• 漏洞風(fēng)險(xiǎn)評(píng)估：CVSS介紹及計(jì)算 - CSDN
• 2016年《中國網(wǎng)絡(luò)安全企業(yè)50強(qiáng)》 - 搜狐新聞
• 2020年CCIA中國網(wǎng)絡(luò)安全競(jìng)爭(zhēng)力50強(qiáng) - 搜狐新聞
• 盛邦安全榮獲國家信息安全漏洞庫（CNNVD）“2018年度重大預(yù)警報(bào)送專項(xiàng)獎(jiǎng)” - 搜狐新聞
• 使用nmap 驗(yàn)證多種漏洞 - CSDN

到了這里，關(guān)于[網(wǎng)絡(luò)]公共網(wǎng)絡(luò)安全漏洞庫：CVE/CNCVE的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！