20180823-cve

20180823-cve

---

preface:

一直有在做跟漏洞相关的project，经常会接触到cve。
最近接触一个厂商，他们需要同步我们的漏洞库，然后他们把cve_id作为了主键，而我们的漏洞库不是以cve_id作为主键的。

结果他们同步完之后，他们发现它们的漏洞总数比我们的少了很多。

这个时候问题就来了，他们的开发认为cve编号是唯一(unique)的，而我当时给他们的答复就是，cve编号并不是唯一的，But 没有给他们一个很清晰的答复。

所以cve编号到底是不是唯一的呢？cve和cwe、cnnvd又有什么区别呢？

So,I need to clear this concept now。

---

Keyword : Cve

what

什么是cve?

cve的定义：common vulnerabilities and exposures(通用漏洞披露)

wiki的定义：

MITRE Corporation’s documentation defines CVE Identifiers (also called “CVE names”, “CVE numbers”, “CVE-IDs”, and “CVEs”) as unique, **common identifiers**for publicly known information-security vulnerabilities in publicly released software packages。

MITRE组织的文档中将cve编号定义为唯一的、通用的标识号，用来标识在公开分发使用的软件包中出现的被广泛知道的信息安全漏洞。

从wiki的定义来看，cve应该是唯一的。

https://cve.mitre.org/上的cve定义

cve is

• One identifier for one vulnerability or exposure 1个漏洞一个编号
• One standardized description for each vulnerability or exposure 标准化描述
• A dictionary rather than a database 是个词典，而不是数据库
• How disparate databases and tools can “speak” the same language 使得不同数据库能联通
• The way to interoperability and better security coverage 提高协作性
• A basis for evaluation among services, tools, and databases 评估的基准
• Free for public download and use 免费
• Industry-endorsed via the CVE Numbering Authorities, CVE Board, and numerous products and services that include CVE

在看这个定义，应该是唯一的了。
那么为什么这个xx漏洞库不用cve编号做主键呢？

cve的格式是什么？

CVE ID syntax defines the ID number component of a CVE Entry, for example, “CVE-2014-9999999”, which includes the CVE prefix + year + sequence number digits.

With the new syntax, CVE IDs can now have 4 or more digits in the sequence number portion of the ID. For example, CVE-YYYY-NNNN with 4 digits in the sequence number, CVE-YYYY-NNNNN with 5 digits in the sequence number, CVE-YYYY-NNNNNNN with 7 digits in the sequence number, and so on.

The change was necessary because the CVE ID syntax used since the inception of CVE in 1999, CVE-YYYY-NNNN, only supports a maximum of 9,999 unique identifiers per year. Due to the ever increasing volume of public vulnerability reports, the CVE Board and CVE Team determined that the CVE Program needed to change the syntax of its standard vulnerability identifiers so that CVE can track more than 10,000 vulnerabilities in a single year.

漏洞数太多了，是的cve id 的语法也要顺应发生变化。。哈哈哈。。

cve是unique的吗？

从官方定义来看，是唯一的。

从需求来看，也是唯一的。因为它的诞生，就是为了来解决各大组织的漏洞数据库的统一化、标准化。

---

why

why cve？

这个gif图很清晰了。哈哈

CVE was launched in 1999 when most cybersecurity tools used their own databases with their own names for security vulnerabilities. At that time there was significant variation among products and no easy way to determine when the different databases were referring to the same problem. The consequences were potential gaps in security coverage and no effective interoperability among the disparate databases and tools. In addition, each tool vendor used different metrics to state the number of vulnerabilities or exposures they detected, which meant there was no standardized basis for evaluation among the tools.

CVE’s common, standardized identifiers provided the solution to these problems.

CVE is now the industry standard for vulnerability and exposure identifiers. CVE Entries — also called “CVEs,” “CVE IDs,” and “CVE numbers” by the community — provide reference points for data exchange so that cybersecurity products and services can speak with each other. CVE Entries also provides a baseline for evaluating the coverage of tools and services so that users can determine which tools are most effective and appropriate for their organization’s needs. In short, products and services compatible with CVE provide better coverage, easier interoperability, and enhanced security.

百度的解释：

随着全球范围的黑客入侵不断猖獗，信息安全问题越来越严重。在对抗黑客入侵的安全技术中，实时入侵检测和漏洞扫描评估（IDnA——Intrusion Detection and Assessment）的技术和产品已经开始占据越来越重要的位置。

实时入侵检测和漏洞扫描评估基于的主要方法还是“已知入侵手法检测”和“已知漏洞扫描”，换句话说就是基于知识库的技术。可见，决定一个IDnA技术和产品的重要标志就是能够检测的入侵种类和漏洞数量。

1999年2月8日的 InfoWorld在比较当时ISS的Internet Scanner5.6和NAI的CyberCop2.5时有一段描述，“由于没有针对这些扫描器平台的分类标准，直接比较他们的数据库非常困难。我们找到在Internet Scanner和CyberCop中同一个漏洞采用了不同的名称……”

各个IDnA厂家在阐述自己产品的水平时，都会声称自己的扫描漏洞数最多，你说有1000种，我说有5000。我们的用户如何辨别？不同的厂家在入侵手法和漏洞这方面的知识库各有千秋，用户如何最大限度地获得所有安全信息？CVE就是在这样的环境下应运而生的。

需求有点像tcp/ip协议的需求，就是为了统一和标准化。作为一个约定

为什么这个xx漏洞库不用cve编号做主键呢？

虽然这个cve编号是唯一的，但是它是由别的组织分发控制的，如果以这个为主键的话，那么在维护xx漏洞库的时候就会很不方便。

还是要自定义一个编号来作为主键来维护自己的漏洞库。

为什么在github找少人用的cms也能申请cve?

从定义来看，只要这是公开发行的软件包，如果存在漏洞的话，那么还是认为可以发放cve的。maybe~

---

how

如何监控获得最新出现的cve?

【技术分享】威胁情报之CVE(通用漏洞披露)监控

---

when&where

几时出现：

CVE was launched in 1999

---

who

cve是由什么组织维护的？

百度的说明：

CVE这个标准的管理组织和形成机制可以说是国际先进技术标准的代表。
编辑部组成
CVE 的编辑部（Editorial Board）成员包括了各种各样的有关信息安全的组织，包括：商业安全工具厂商，学术界，研究机构，政府机构还有一些卓越的安全专家。通过开放和合作式的讨论，编辑部决定哪些漏洞和暴露要包含进CVE，并且确定每个条目的公共名称和描述。一个独立的非盈利组织MITRE负责召集编辑部，协调讨论，在整个过程提供指导，保证CVE能够服务于公众的要求。编辑部会议和讨论的内容会保存在网站中。如果需要，还会邀请其他相关信息安全专家加入到编辑部的工作中。
在编辑部中，我们能够找到许多熟悉的名字：

• CERIAS美国普渡大学计算机系
• Kelly Cooper国际知名信息安全专家
• ISS这样的著名安全工具厂商，还有NFR, Axent, PGP, Symantic等等
• Cisco, IBM, Sun, 微软等
• 美国和加拿大的CERT
• NTBugtraq, Security Focus这样的安全门户
• Ernst & Young这样的著名咨询机构
• NIST这样的标准化和测试机构

这样的编辑部可以说是一个超强的阵容，同时也决定了这个标准的权威地位。

---

refs：

• wiki:Common Vulnerabilities and Exposures
• https://cve.mitre.org/
• 百度词条:CVE

---

expansion

• mysql中的主键