[网络]公共网络安全漏洞库： CVE / CNCVE

本文博主的经历与该博文处理绿盟科技安全评估的系统漏洞 - 博客园的经历相同：

处理【第三方网络安全公司】给【公司产品】的【客户的服务器】扫描后生成的【安全漏洞报告】。

1 前言

以网络安全行业中最大的、影响范围最广的CVE为例。

CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。

CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。

使用一个共同的名字，可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据，虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。

如果在一个漏洞报告中指明的一个漏洞，如果有CVE名称，你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息，解决安全问题。

2 公共网络安全漏洞库

• CVE: Common Vulnerabilities and Exposures
  
  常见漏洞和暴露(CVE)/通用漏洞披露 / CVE发布源
  
  http://cve.mitre.org/

• CNCVE: China National Common Vulnerabilities and Exposures
  
  中国国家通用漏洞披露

• NVD National Vulnerability Database
  
  美国国家信息安全漏洞库
  
  https://nvd.nist.gov/

• CNVD/CNNVD: China National Vulnerability Database of Information Security
  
  中国国家信息安全漏洞库 (运营方:中国信息安全测评中心)
  
  http://www.cnnvd.org.cn/

• CVEDetails - The ultimate security vulnerability datasource
  
  https://www.cvedetails.com/

---

【补充】其它的漏洞库

• 绿盟科技安全研究成果(漏洞检索入口) - http://www.nsfocus.net/index.php?act=sec_bug

3 延申： CVSS(通用漏洞评分系统)

CVSS

:= Common Vulnerability Scoring System

:= 通用漏洞评分系统

:= 一个“行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度”

:= 安全内容自动化协议（SCAP）的一部分

:= 由NIAC开发、FIRST维护的一个开放并且能够被产品厂商免费采用的网络安全漏洞评分标准

通常地，CVSS同CVE一同由美国国家漏洞库（NVD）发布、并保持数据的更新.

• 关于评分

利用该标准————CVSS，可以对弱点进行评分，进而帮助我们判断修复不同弱点的优先等级。

它的主要目的是帮助人们建立衡量漏洞严重程度的标准，使得人们可以比较漏洞的严重程度，从而确定处理它们的优先级。

CVSS得分基于一系列维度上的测量结果，这些测量维度被称为量度（Metrics）。漏洞的最终得分最大为10，最小为0。

• score in [7,10]: 高危漏洞 / High / Vulnerability High
• score in [4,6.9]: 中危漏洞 / Middle / Vulnerability Middle
• score in [0,3.9]: 低危漏洞 / Low / Vulnerability Low

CVSS系统包括三种类型的分数：基本分数、暂时分、环境分

基本得分和临时得分通常由安全产品卖主、供应商给出，因为他们能够更加清楚的了解漏洞的详细信息；

环境得分通常由用户给出，因为他们能够在自己的使用环境下更好的评价该漏洞存在的潜在影响。

CVE Details漏洞报告

安全报告1(样例图)

安全报告2(样例图)

[CVSS 官方定义]
通用漏洞评分系统（CVSS）提供了一种捕获漏洞的主要特征并产生反映其严重性的数字评分的方法。
然后，可以将数字分数转换为定性表示形式（例如低，中，高和关键），以帮助组织正确评估漏洞管理流程并确定其优先级。

CVSS是全世界组织使用的已发布标准，SIG的使命是继续对其进行改进。

Y 2020年CCIA中国网络安全竞争力50强

有幸在2020年9/10月，处理过4轮安全漏洞报告，并阅读过这总共3家网络安全公司中的其中2家————【天融信】和【北京盛邦】的服务器安全扫描报告。

我个人的感受是：

• 用户阅读体验：北京盛邦做得更好。

例如，对全部服务器安全漏洞的整体情况，通过专门的统计、可视化分析图表的形式，让报告阅读者(服务器维护者)一目了然。

反观天融信的报告，则要简陋很多！

又例如，出现漏洞所在的依赖组件/应用软件/端口，盛邦的报告就直接指明了，天融信的报告则完全读不出来，全靠读者自己去摸排线索。

总之，读天融信的报告，就有点难受。既费时，又费力！

• 漏洞研究(深度)：天融信做得更好。

天融信对应用软件中出现漏洞的最新版本、已修复的漏洞版本(Fix version)，能够更及时地报告出来。

【2020年】

【2016年】

X 推荐资源

• CVE
• 中国国家信息安全漏洞库
• CVEDetails - CVE security vulnerability database
• VULHUB - 信息安全漏洞门户(民营组织)
• 处理绿盟科技安全评估的系统漏洞 [推荐] - 博客园
• 记录一次漏洞修复，openssh安全漏洞（CVE-2017-15906）以及openssh用户枚举漏洞（CVE-2018-15919）内网openssh升级过程 [推荐] - 博客园
• OpenSSH 输入验证错误漏洞(CVE-2020-12062)漏洞修复(本人亲测) [推荐] - CSDN
• WX3024H 绿盟扫描安全漏洞问题处理案例 - Zhiliao
• 漏洞风险评估：CVSS介绍及计算 - CSDN
• 2016年《中国网络安全企业50强》 - 搜狐新闻
• 2020年CCIA中国网络安全竞争力50强 - 搜狐新闻
• 盛邦安全荣获国家信息安全漏洞库（CNNVD）“2018年度重大预警报送专项奖” - 搜狐新闻
• 使用nmap 验证多种漏洞 - CSDN