公共漏洞和暴露

公共漏洞和暴露（英語：CVE, Common Vulnerabilities and Exposures）又稱通用漏洞披露、常見漏洞與披露，是一個與資訊安全有關的資料庫，收集各種資安弱點及漏洞並給予編號以便於公眾查閱。此資料庫現由美國非營利組織MITRE（英语：Mitre Corporation）所屬的National Cybersecurity FFRDC（英语：National Cybersecurity FFRDC）所營運維護^[1] 。

Logo

安全内容自动化协议（SCAP）中有使用CVE，Mitre的弱點系統以及美国国家漏洞数据库（英语：National Vulnerability Database）（NVD）都有使用CVE ID。

格式

CVE对每一個漏洞都賦予一個專屬的編號，格式如下：

• CVE-YYYY-NNNN

CVE為固定的前綴字，YYYY為西元紀年，NNNN為流水編號。NNNN原則上為四位數字，不足四位时前面补0。从2014年开始，必要時可編到五位數或更多位數。由于CVE有很多个编号机构，每个编号机构使用的号段并不相同，因此NNNN可能并不连续。

以2014年發現的心臟出血漏洞為例，其編號為CVE-2014-0160。

相關條目

• 通用缺陷列表（CWE）
• ATT&CK

參考資料

1. CVE – Common Vulnerabilities and Exposures. MITRE Corporation. 3 July 2007 [2009-06-18]. （原始内容存档于2020-12-19）. CVE is sponsored by the National Cyber Security Division of the U.S. Department of Homeland Security.

外部連結

• 官方网站
• National Vulnerability Database (NVD) （页面存档备份，存于互联网档案馆）
• Common Configuration Enumeration (CCE) （页面存档备份，存于互联网档案馆） at NVD
• vFeed （页面存档备份，存于互联网档案馆） the Correlated and Aggregated Vulnerability Database - SQLite Database and Python API
• Cyberwatch Vulnerabilities Database （页面存档备份，存于互联网档案馆）, third party
• What Enterprises need to know about IT Security Audit Services? （页面存档备份，存于互联网档案馆）