產生背景：目前實時入侵檢測和漏洞掃描評估基于的主要方法還是“已知入侵手法檢測”和“已知漏洞掃描”，即基于知識庫的技術，因此決定一個IDnA（Intrusion Detection and Assessment 實時入侵檢測和漏洞掃描評估）技術和產品的重要標志就是能夠檢測的入侵種類和漏洞數量。但在安全產業中存在著安全漏洞與系統缺陷等安全問題命名混亂的現象，需要進行標準化。
什么是CVE：CVE（Common Vulnerabilities and Exposures通用漏洞披露)，是國際上一個著名的漏洞知識庫，也是目前在國際上最具公信力的安全弱點披露與發布單位，CVE組織是一個由企業界、政府界和學術界綜合參與的國際組織，其使命是通過非盈利的組織形式，對漏洞與暴露進行統一標識，使得用戶和廠商對漏洞與暴露有統一的認識，從而更加快速而有效地去鑒別、發現和修復軟件產品的脆弱性。CVE于1999年9月建立，目前其命名方案由MITER公司主持。

漏洞(Vulnerability)與暴露(Exposure)：在所有合理的安全策略中都被認為是有安全問題的稱之為“Vulnerability”，漏洞可能導致攻擊者以其他用戶身份運行，突破訪問限制，轉攻另一個實體，或者導致拒絕服務攻擊等。對那些在一些安全策略中認為有問題，在另一些安全策略中可以被接受的情況，稱之為“Exposure”，暴露可能僅僅讓攻擊者獲得一些邊緣性的信息，隱藏一些行為；可能僅僅是為攻擊者提供一些嘗試攻擊的可能性；可能僅僅是一些可以忍受的行為，只有在一些安全策略下才認為是嚴重問題。如，finger服務，可能為入侵者提供很多有用的資料，但是該服務本身有時是業務必須的，因此不能說該服務本身有安全問題，宜定義為Exposure而非Vulnerability.

CVE的特點：為每個漏洞和暴露確定了唯一的名稱；給每個漏洞和暴露一個標準化的描述；不是一個數據庫，而是一個字典；任何完全迥異的漏洞庫都可以用同一個語言表述；由于語言統一，可以使得安全事件報告更好地被理解，實現更好的協同工作；可以成為評價相應工具和數據庫的基準。

CVE認證：CVE兼容（CVE Compatible）意味著一個工具、網站、數據庫或者其它安全產品使用CVE名稱，并且允許與其它使用CVE命名方式的產品交叉引用。通常，各家企業產品在獲得CVE最高級別認證（CVE Compatible）之前，需經過5個評審階段，這包括：CVE Intent Declared、Declared CVE Output、Declared CVE Searchable、Declared CVE Output &Searchable和CVE Compatibility Questionnaire Posted

轉載于:https://www.cnblogs.com/evangel/archive/2009/02/06/1385160.html

總結

以上是生活随笔為你收集整理的CVE（Common Vulnerabilities and Exposures通用漏洞披露）笔记的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。