漏洞编号与管理机构

机构

CVE - 公共漏洞和暴露

公共漏洞和暴露(CVE, Common Vulnerabilities and Exposures)又称通用漏洞披露、常见漏洞与披露,是一个与信息安全有关的数据库,收集各种信息安全弱点及漏洞并给予编号以便于公众查阅。此数据库现由美国非营利组织MITRE所属的National Cybersecurity FFRDC所营运维护。

CNNVD - 国家信息安全漏洞库

国家信息安全漏洞库,英文名称"China National Vulnerability Database of Information Security "简称"CNNVD",于2009年10月18日正式成立,是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家信息安全漏洞库,面向国家、行业和公众提供灵活多样的信息安全数据服务,为我国信息安全保障提供基础服务。CNNVD是中国信息安全测评中心为切实履行漏洞分析和风险评估职能,在国家专项经费支持下,负责建设运维的国家级信息安全漏洞数据管理平台,旨在为我国信息安全保障提供服务。CNNVD通过自主挖掘、社会提交、协作共享、网络搜集以及技术检测等方式,联合政府部门、行业用户、安全厂商、高校和科研机构等社会力量,对涉及国内外主流应用软件、操作系统和网络设备等软硬件系统的信息安全漏洞开展采集收录、分析验证、预警通报和修复消控工作,建立了规范的漏洞研判处置流程、通畅的信息共享通报机制以及完善的技术协作体系,处置漏洞涉及国内外各大厂商上千家,涵盖政府、金融、交通、工控、卫生医疗等多个行业,为我国重要行业和关键基础设施安全保障工作提供了重要的技术支撑和数据支持,对提升全行业信息安全分析预警能力,提高我国网络和信息安全保障工作发挥了重要作用。

CNVD - 国家信息安全漏洞共享平台

国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是由国家计算机网络应急技术处理协调中心(中文简称国家互联应急中心,英文简称CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库。

建立CNVD的主要目标即与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集验证、预警发布及应急处置体系,切实提升我国在安全漏洞方面的整体研究水平和及时预防能力,进而提高我国信息系统及国产软件的安全性,带动国内相关安全产品的发展。

CNNVD和CNVD两者都同步CVE的漏洞信息并翻译成中文,两者都接受漏洞报送,但是两者信息不会相互共享。两者独立收录的漏洞信息也不会和CVE同步。CNVD实际维护团队是恒安嘉新,CNNVD是正式的国家官方漏洞库,维护团队也是官方正式人员。

NVD - 美国国家漏洞数据库

美国国家漏洞数据库(NATIONAL VULNERABILITY DATABASE,简称NVD),NVD是使用安全内容自动化协议(SCAP)表示的基于标准的漏洞管理数据的美国政府存储库。此数据可实现漏洞管理,安全性测量和合规性的自动化。NVD包括安全检查表引用数据库,安全相关软件缺陷,错误配置,产品名称和影响度量标准。NVD是使用安全内容自动化协议(SCAP)表示的基于标准的漏洞管理数据的美国政府存储库。此数据可实现漏洞管理,安全性测量和合规性的自动化。NVD包括安全检查表引用数据库,安全相关软件缺陷,错误配置,产品名称和影响度量标准。

NVD最初创建于2000年(称为Internet - Attackingization of Attacks Toolkit或ICAT),经过多次迭代和改进,并将继续提供服务。NVD是NIST计算机安全部门,信息技术实验室的产品,由美国国土安全部国家网络安全部门赞助。

NVD的漏洞信息来源基本都是CVE,CVE是非官方的民间组织,其实是MITRE公司在负责维护,总的来说漏洞的编号是CVE做的,NVD会同步数据,补充更多的信息,我们长期观察下来得出的结论是:CVE网站上的信息更及时,但是信息匮乏;NVD提供的是同样信息,只是不及时但更准确,更详细。

最后更新于