参考:CVE申请的那些事
1.什么是CVE
CVE的全称是“Common Vulnerabilities and Exposures”,翻译成中文就是“公共漏洞和披露”。它相当于一个搜集了很多安全漏洞的漏洞库,不同的漏洞信息对应着一个不同的CVE编号,所谓申请CVE也就是申请一个CVE编号。
2.CVE授权机构CNA
CNA的全称是“CVE Numbering Authority”,中文可以理解为“CVE编号授权机构”。我们申请的CVE编号是由CNA来分配的。截止目前为止,共有85个CNA,覆盖14个国家。CNA包括供应商(比如苹果、谷歌等公司)和项目发起机构,漏洞研究人员、国家和行业CERT以及漏洞奖励计划组织。这些CNA可以构建CVE列表,并分配列表中的CVE编号和录入相关信息。
为了做完实验报告,我得尝试申请一个二进制方面的CVE(现在还没开始…),想着做一个系列的博客来记录一下,希望有大佬可以指教!