一、如何去申请CVE编号?
大体上分为以下两种:
第一种:找Participating CNA要CVE编号
- Participating CNA的意思就是参与CNA,可以理解为参与CVE计划的公司或项目发起者,总之就是有产品拿出来让大家挖漏洞的,这些CNA有一个列表CNA列表,按照列表中给的联系方式和CNA厂商直接联系获取CVE
- 邮件CNA中企业 -> 企业确认和修复 -> 企业申请CVE和发布漏洞补丁
第二种:找Primary CNA要CVE编号(公开披露)
- 找主CNA要编号,也就是MITRE官方,MITRE在Participating CNA中且是第一个,区别在于如果找到的漏洞不在Participating CNA那些公司里面,但是漏洞又确实存在( 写好了POC),那么就可以找MITRE官方来申请编号MITRE CVE Request web form
- 公开披露漏洞 -> 提交CVE申请 -> 邮件反馈申请结果
公开披露方法
通过MITRE CVE Request web form提交的示例(github上的随便找的项目)
##得到cve编号后,MITRE在CVE网站创建跟这些CVE编号有关的无内容的“空白”页面;漏洞状态为RESERVED。
也就是说,RESERVED(保留)状态只是说MITRE和CNAs成员收到了这个漏洞,漏洞质量或真实性是未经过验证的。
二、公开信息的CVE漏洞才是有效的
漏洞厂商公开CVE漏洞信息
- 请求者需通过可靠渠道公开披露或与漏洞相关方分享这些CVE-ID编号漏洞信息。比如联系上面列举的CNAs列表中的厂商,他们将在其首次公开宣布你的新漏洞时包含CVE-ID编号,多数厂商会在致谢词中提及漏洞致谢者的名称
CVE官方公开CVE漏洞分析信息
- 请求和将公开的CVE-ID编号通知METRE。METRE去掉RESERVED标识,公开漏洞详细信息,并且reference中会包含厂商的漏洞公开页面。也就是说,只有这个阶段的漏洞,才是经过验证,才是真实有效的漏洞。