标准适用于从事漏洞发布与管理、漏洞库建设、产品生产、研发、测评与网络运营等活动的所有相关方。
针对每一个漏洞进行标识与描述的框架如图 1 所示,分为标识项和描述项两大类,其中描述项包括名称、发布时间、发布者、验证者、发现者、类别、等级、受影响产品或服务、相关编号、存在性说明等十项必须项,并可根据需要扩展检测方法、解决方案、其他描述等扩展项。扩展项为可选。
标识项中仅有 “标识项” 一项内容。“标识号” 是用来对每个漏洞进行唯一标识的代码,其格式为:CNCVD-YYYY-NNNNNN。
其中,CNCVD 为固定编码前缀;YYYY 为 4 位十进制数字,表示漏洞发现的年份;NNNNNN 为 6 位十进制数字序列号,表示 YYYY 年内漏洞的序号。序列号位数默认采用 6 位,从 “000001” 开始编号,当 YYYY 年漏洞数量超过 999999 时,可按需扩展其数字位数。
- 名称
概括性描述洞信息的短语。采用分段式格式描述,包括固定字段和自定义字段,字段之间以 “.”。
漏洞相关的产品或服务。等级。类别。自定义字段 1. 自定义字段 2…… 自定义字段 n。
前三段