[網絡]公共網絡安全漏洞庫： CVE / CNCVE

本文博主的經歷與該博文處理綠盟科技安全評估的系統漏洞 - 博客園的經歷相同：
處理【第三方網絡安全公司】給【公司產品】的【客戶的服務器】掃描后生成的【安全漏洞報告】。

1 前言

以網絡安全行業中最大的、影響范圍最廣的CVE為例。
CVE 的英文全稱是“Common Vulnerabilities & Exposures”通用漏洞披露。
CVE就好像是一個字典表，為廣泛認同的信息安全漏洞或者已經暴露出來的弱點給出一個公共的名稱。
使用一個共同的名字，可以幫助用戶在各自獨立的各種漏洞數據庫中和漏洞評估工具中共享數據，雖然這些工具很難整合在一起。這樣就使得CVE成為了安全信息共享的“關鍵字”。
如果在一個漏洞報告中指明的一個漏洞，如果有CVE名稱，你就可以快速地在任何其它CVE兼容的數據庫中找到相應修補的信息，解決安全問題。

2 公共網絡安全漏洞庫

• CVE: Common Vulnerabilities and Exposures
  常見漏洞和暴露(CVE)/通用漏洞披露 / CVE發布源
  http://cve.mitre.org/

• CNCVE: China National Common Vulnerabilities and Exposures
  中國國家通用漏洞披露

• NVD National Vulnerability Database
  美國國家信息安全漏洞庫
  https://nvd.nist.gov/

• CNVD/CNNVD: China National Vulnerability Database of Information Security
  中國國家信息安全漏洞庫 (運營方:中國信息安全測評中心)
  http://www.cnnvd.org.cn/

• CVEDetails - The ultimate security vulnerability datasource
  https://www.cvedetails.com/

---

【補充】其它的漏洞庫

• 綠盟科技安全研究成果(漏洞檢索入口) - http://www.nsfocus.net/index.php?act=sec_bug

3 延申： CVSS(通用漏洞評分系統)

CVSS
:= Common Vulnerability Scoring System
:= 通用漏洞評分系統
:= 一個“行業公開標准，其被設計用來評測漏洞的嚴重程度，並幫助確定所需反應的緊急度和重要度”
:= 安全內容自動化協議（SCAP）的一部分
:= 由NIAC開發、FIRST維護的一個開放並且能夠被產品廠商免費采用的網絡安全漏洞評分標准

通常地，CVSS同CVE一同由美國國家漏洞庫（NVD）發布、並保持數據的更新.

• 關於評分

利用該標准————CVSS，可以對弱點進行評分，進而幫助我們判斷修復不同弱點的優先等級。
它的主要目的是幫助人們建立衡量漏洞嚴重程度的標准，使得人們可以比較漏洞的嚴重程度，從而確定處理它們的優先級。
CVSS得分基於一系列維度上的測量結果，這些測量維度被稱為量度（Metrics）。漏洞的最終得分最大為10，最小為0。

• score in [7,10]: 高危漏洞 / High / Vulnerability High
• score in [4,6.9]: 中危漏洞 / Middle / Vulnerability Middle
• score in [0,3.9]: 低危漏洞 / Low / Vulnerability Low

CVSS系統包括三種類型的分數：基本分數、暫時分、環境分
基本得分和臨時得分通常由安全產品賣主、供應商給出，因為他們能夠更加清楚的了解漏洞的詳細信息；

環境得分通常由用戶給出，因為他們能夠在自己的使用環境下更好的評價該漏洞存在的潛在影響。

CVE Details漏洞報告

安全報告1(樣例圖)

安全報告2(樣例圖)

[CVSS 官方定義]
通用漏洞評分系統（CVSS）提供了一種捕獲漏洞的主要特征並產生反映其嚴重性的數字評分的方法。
然后，可以將數字分數轉換為定性表示形式（例如低，中，高和關鍵），以幫助組織正確評估漏洞管理流程並確定其優先級。

CVSS是全世界組織使用的已發布標准，SIG的使命是繼續對其進行改進。

Y 2020年CCIA中國網絡安全競爭力50強

有幸在2020年9/10月，處理過4輪安全漏洞報告，並閱讀過這總共3家網絡安全公司中的其中2家————【天融信】和【北京盛邦】的服務器安全掃描報告。
我個人的感受是：

• 用戶閱讀體驗：北京盛邦做得更好。

例如，對全部服務器安全漏洞的整體情況，通過專門的統計、可視化分析圖表的形式，讓報告閱讀者(服務器維護者)一目了然。
反觀天融信的報告，則要簡陋很多！

又例如，出現漏洞所在的依賴組件/應用軟件/端口，盛邦的報告就直接指明了，天融信的報告則完全讀不出來，全靠讀者自己去摸排線索。

總之，讀天融信的報告，就有點難受。既費時，又費力！

• 漏洞研究(深度)：天融信做得更好。

天融信對應用軟件中出現漏洞的最新版本、已修復的漏洞版本(Fix version)，能夠更及時地報告出來。

【2020年】

【2016年】

X 推薦資源

• CVE
• 中國國家信息安全漏洞庫
• CVEDetails - CVE security vulnerability database
• VULHUB - 信息安全漏洞門戶(民營組織)
• 處理綠盟科技安全評估的系統漏洞 [推薦] - 博客園
• 記錄一次漏洞修復，openssh安全漏洞（CVE-2017-15906）以及openssh用戶枚舉漏洞（CVE-2018-15919）內網openssh升級過程 [推薦] - 博客園
• OpenSSH 輸入驗證錯誤漏洞(CVE-2020-12062)漏洞修復(本人親測) [推薦] - CSDN
• WX3024H 綠盟掃描安全漏洞問題處理案例 - Zhiliao
• 漏洞風險評估：CVSS介紹及計算 - CSDN
• 2016年《中國網絡安全企業50強》 - 搜狐新聞
• 2020年CCIA中國網絡安全競爭力50強 - 搜狐新聞
• 盛邦安全榮獲國家信息安全漏洞庫（CNNVD）“2018年度重大預警報送專項獎” - 搜狐新聞
• 使用nmap 驗證多種漏洞 - CSDN