登录/注册 帐户

安全

CVE是什么?

CVE是Common vulnerability and exposure的缩写,是公开披露的计算机安全漏洞的列表。当有人提到CVE时,他们通常是指分配给安全漏洞的CVE ID号。

供应商和研究人员发布的安全建议几乎总是提到至少一个CVE ID。CVE帮助IT专业人员协调他们的努力,优先处理这些漏洞,使计算机系统更安全。

CVE系统是如何工作的?

CVE是由主教法冠公司资金来自美国国土安全部下属的网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency)。

CVE条目是短暂的。它们不包括技术资料,或有关风险,影响和修正的信息。这些细节出现在其他数据库,包括美国国家漏洞数据库(NVD)中,CERT / CC的漏洞Notes数据库,以及由供应商和其他组织维护的各种清单。在这些不同的系统中,CVE id为用户提供了一种可靠的方法来区分独特的安全缺陷。

关于CVE标识符

CVE标识符由一个CVE编号管理局(CNA)来分配。有约100米的CNA,代表主要的IT供应商、安全公司和研究机构。MITRE也可以直接发布CVEs。

CNA的发出的CVE,这是在储备举行,因为他们被发现附加到新问题的块。上千的CVE编号每年颁发。单个复杂的产品,例如操作系统,可以积累数百的CVE的。

CVE报告可以来自任何地方。一个供应商,研究员,或者仅仅是一个精明的用户可以发现一个缺陷,并把它带到别人的注意。许多供应商提供错误赏金鼓励负责任地披露安全漏洞。如果你在开源软件你应该把它提交给社区

这种或那种方式,有关缺陷的信息使得其对中央社方式。的CNA分配信息的CVE ID,并写入的简要说明,并包括引用。然后CVE条目被张贴在CVE网站上。

通常情况下,由安全公告之前公众CVE ID分配。这是常见的厂商,以保持安全漏洞秘密,直到修复已开发和测试。这减少了攻击者利用未修补漏洞的机会。

一旦公开,一个CVE条目包括CVE ID(格式为“CVE-2019-1234567”)时,安全漏洞或曝光,和参考文献,其可包括联结到漏洞报告和咨询的简要说明。


满足哪些条件的CVE?

CVE id被分配给满足特定标准集的缺陷。他们必须:

1.独立可以解决的。

该缺陷可以独立于任何其他缺陷进行修复。

2.受影响的厂商应答。

软件或硬件供应商承认存在缺陷,并认为该缺陷对安全性有负面影响。

记录。报告者分享了一份漏洞报告,该报告显示了该漏洞的负面影响,并且违反了受影响系统的安全策略。

3.影响一个代码库。

影响多个产品的缺陷有单独的cve。在共享库、协议或标准的情况下,只有当无法在不受攻击的情况下使用共享代码时,漏洞才会得到一个单独的CVE。否则,每个受影响的代码库或产品都会得到一个唯一的CVE。


什么是常见的漏洞评分系统?

有多种方法可以评估漏洞的严重性。一个是通用安全漏洞评分系统(CVSS),一套开放标准的分配数量的漏洞,以评估其严重性。CVSS分数所使用的NVD,CERT和其它评估安全漏洞的影响。得分范围从0.0到10.0,与代表一个较高程度的漏洞的严重性的更高的数字。许多安全厂商都建立了自己的评分系统,以及。

三个关键外卖

了解你的部署。CVE的存在并不意味着风险适用于您的特定环境和部署。确保阅读每个CVE,并通过验证它是否应用(或部分应用)于在独特环境中配置的操作系统、应用程序、模块和配置,了解它是否适用于您的环境。

实践漏洞管理。脆弱性管理是一个重复的过程来识别,分类,排序,调整,以及减轻漏洞。这意味着理解风险将如何适用于您的组织,所以你可以适当优先需要解决任何悬而未决的漏洞。

准备好进行通信。cve将影响您组织的系统,这既是由于漏洞本身,也是由于解决它们所需的任何潜在停机时间。与您的内部客户沟通和协调,并与组织内的任何中央风险管理部门共享漏洞。

红帽如何与的CVE

作为主要的贡献者开源软件,红帽连续从事安全社区。Red Hat是一个CVE编号权威(CNA),并使用CVE ID来跟踪安全漏洞。红帽安全保持一个开放的,经常更新安全更新的数据库,您可以通过CVE号码查看。

信托红帽

了解红帽承诺保护客户数据和隐私

探索红帽基础设施

红帽企业Linux是一个稳定,可靠的基础,是灵活,足以以推出新的应用,虚拟化环境,并创建一个安全的混合云,全部由我们屡获殊荣的支持。

管理红帽基础设施的最简单的方法,以实现高效和兼容的IT操作。建立可信任的内容存储库和流程,以帮助您构建基于标准的安全环境。