浅谈漏洞来源(CVE,NVD,CNVD,CNNVD)
網絡安全人士可能會問這樣一個問題,安全漏洞是哪里來的,什么渠道,可靠嗎。那么多的安全產品,他們的漏洞庫都是自己整理的嗎?(怎么可能撒),雖然各安全廠商都搞自己的威脅情報中心,但是威脅情報除了自研的,很多還是靠類似公益的機構來支持,比如業界大家都知道的幾個平臺,我們就簡單和大家掰扯掰扯吧。
頭部的安全廠商會搞自己的漏洞收集平臺,也有項目形式的,比如國外的CVE,NVD和國內的CNVD,CNNVD。重點說說CVE吧。
CVE:英文全稱是“Common Vulnerabilities & Exposures” 通用漏洞披露。CVE就好像是一個字典表,為廣泛認同的信息安全漏洞或者已經暴露出來的弱點給出一個公共的名稱。使用一個共同的名字,可以幫助用戶在各自獨立的各種漏洞數據庫中和漏洞評估工具中共享數據。這樣就使得CVE成為了安全信息共享的“關鍵字”。如果在一個漏洞報告中指明一個漏洞,如果有CVE名稱,你就可以快速地在任何其它CVE兼容的數據庫中找到相應修補的信息,解決安全問題。其使命是為了能更加快速而有效地鑒別、發現和修復軟件產品的安全漏洞。
官網: http://cve.mitre.org/
為什么會有CVE: ?各個安全廠家在闡述自己產品的水平時,都會聲稱自己的掃描漏洞數最多,你說有1000種,我說有5000。直接比較他們的數據庫是很困難的,也不科學,但是用戶如何辨別?不同的廠家在入侵手法和漏洞這方面的知識庫各有千秋,用戶如何最大限度地獲得所有安全信息?CVE就是在這樣的環境下應運而生的。現在的安全工具,比如漏掃,都支持或者兼容CVE漏洞,就是CVE里有的漏洞,它都能作為漏洞庫進行檢測。
CVE的特點:
- 為每個漏洞和暴露確定了唯一的名稱
- 給每個漏洞和暴露一個標準化的描述
- 不是一個數據庫,而是一個字典
- 任何完全迥異的漏洞庫都可以用同一個語言表述
- 由于語言統一,可以使得安全事件報告更好地被理解,實現更好的協同工作
- 可以成為評價相應工具和數據庫的基準
- 非常容易從互聯網查詢和下載,
- 通過“CVE編輯部”體現業界的認可
(CVE 的編輯部成員包括了各種各樣的有關信息安全的組織,包括:安全廠商,學術界,研究機構,政府機構還有一些卓越的安全專家。通過開放和合作式的討論,編輯部決定哪些漏洞和暴露要包含進CVE,并且確定每個條目的公共名稱和描述。)
CVE的命名:
命名過程從發現一個潛在的安全漏洞開始;首先賦予一個CVE候選號碼;接著,編輯部會討論該候選條目能否成為一個CVE條目;如果候選條目被投票通過,該條目會加進CVE,并且公布在CVE網站上。
我們結合某一產品舉個例子吧。
這個是某安全工具里的漏洞檢測功能,此處它提示檢車到某IP地址的漏洞,就是符合CVE-2009-1172的描述。那么用戶如果想知道詳細的改漏洞的描述或者信息,可以在CVE的官網查閱,比如下圖
在CVE的官方網站可以查閱到收錄的各種漏洞,目前已經快15萬條了。
關于漏洞的詳細描述,網站上有相關信息,包括該漏洞在其他平臺組織的編號信息等。也就是同一個漏洞,在不同的組織中被命名或編號是不同的,但是他們說的是同一個漏洞。
除了CVE,著名的再就是NVD(美國國家通用漏洞數據庫)和CNVD,NNVD了。
CNVD: 國家信息安全漏洞共享平臺(China National Vulnerability Database)https://www.cnvd.org.cn/ ?
由國家計算機網絡應急技術處理協調中心(中文簡稱國家互聯應急中心,英文簡稱CNCERT)聯合國內重要信息系統單位、基礎電信運營商、網絡安全廠商、軟件廠商和互聯網企業建立的國家網絡安全漏洞庫。
CNNVD : 國家信息安全漏洞庫 ?http://www.cnnvd.org.cn/web/index.html
CNNVD是中國國家信息安全漏洞庫,英文名稱“China National Vulnerability Database of Information Security”,簡稱“CNNVD”,隸屬于中國信息安全測評中心(一般簡稱國測,國測的主管單位是Security部),是中國信息安全測評中心為切實履行漏洞分析和風險評估的職能,負責建設運維的國家級信息安全漏洞庫,為我國信息安全保障提供基礎服務。
詳細內容,可以點進去看看,但是今天這個網站,點了就報錯,估計也經常被攻擊吧。
其他就不多說了,多是一些安全廠商自建的平臺,可以理解為第三方眾測平臺吧。感覺第三方這種的含金量要差一些,沒有CVE等那么高質量吧。畢竟CVE的申請過程也比較麻煩。
原文:https://blog.csdn.net/weixin_41686586/article/details/113996298
總結
以上是生活随笔為你收集整理的浅谈漏洞来源(CVE,NVD,CNVD,CNNVD)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Windows 下 Python 环境搭
- 下一篇: C#串口SerialPort常用属性方法