网站内容发布审核流程(企业关注漏洞使用CVE作为修补漏洞索引依据(组图))

　　网站内容发布审核流程(企业关注漏洞使用CVE作为修补漏洞索引依据(组图))

　　什么是 CVE？

　　CVE的全称是“Common Vulnerabilities & Exposures”，中文意思是公共漏洞和暴露。作为漏洞披露平台，备受*敏*感*词*关注。CVE 将提供一个数字作为与漏洞对应的字符串功能。许多公司倾向于使用高质量的 CVE 来证明自己的实力。一些工具和产品也会使用 CVE 作为漏洞的官方标识符。一些公司关注漏洞，将CVE作为修补漏洞的指标基础。

　　如何提交 CVE？

　　目前，已经总结和完善了多种申请CVE的方法。每种方法都有优缺点，请自行选择。大致有两种类型：公开披露和向CNA成员报告有问题的供应商。如果您需要披露漏洞，请将它们加入书签。

　　申请公开流程

　　1、漏洞公开->提交CVE申请->邮件申请结果

　　操作流程：CVE官方网站->Request CVE IDs（申请CVE ID）->MITRE CVE Request web form（通过web form提交）->填写表格（如果英文不好，建议使用网页谷歌翻译或参考之前文章) -> 等待CVE回复邮件->邮件回复收录CVE编号

　　2、Email CNA Enterprise -> Enterprise Confirmation and Repair -> Enterprise申请CVE并发布漏洞补丁

　　操作流程：CVE官方网站 -> Request CVE IDs (Apply for CVE ID) -> Compile your report (English) -> 比如提交苹果公司的相关漏洞，可以参考以下CNA供应商列表并发送电子邮件至。-> 与供应商保持顺畅的沟通 -> 补丁和 CVE

　　公开披露漏洞

　　厂商一般不喜欢直接披露漏洞，最好先联系厂商。此外，如果公开披露的漏洞受到CNA成员的影响，则可能存在法律风险。

　　利用数据库

　　Exploit Database 是一个面向全球黑客的漏洞提交平台。他们很高兴收到您的漏洞披露电子邮件。如果您的漏洞已有 CVE 编号，则其中 90% 将 收录。如果没有，他们将验证漏洞收录的有效性，验证阶段可能需要1到3个工作日。

　　如果需要提交漏洞，可以参考。发送电子邮件的格式和邮箱是有组织的。

　　让我详细解释一下：

　　1、 根据格式准备报告内容。如果没有要提供的信息，请将其留空。提交内容必须为英文。请注意，中文注释部分应删除。

　　漏洞利用标题：[title]

　　Google Dork（Google 搜索关键字）：[如果适用]

　　日期（发现漏洞的日期）：[日期]

　　漏洞利用作者：[作者]

　　供应商主页：[链接]

　　软件链接（漏洞影响应用程序下载链接）：[下载链接如果可用]

　　版本：[应用程序版本]（必需）

　　测试：[相关操作系统]

　　CVE（CVE 编号）：[如果适用] POC（漏洞证明）：

　　2、发送电子邮件至。

　　3、等待漏洞利用数据库主页上的披露。

　　4、首页公示后，按照公示漏洞申请流程提交CVE。

　　GITHUB 个人项目

　　GITHUB 是开源和私有软件项目的托管平台，可以在其中创建个人项目。您可以创建一个关于漏洞提交的项目来公开漏洞的详细信息。

　　建议参考描述模板。如果可以尽量使用英文，英文模板参考exploit-db提交模板。中文报告可能会导致审查时间延长。

　　模板如下：

　　漏洞标题：

　　受影响的版本：

　　发现时间：

　　创始人：

　　分析报告：

　　维修计划：

　　项目公开漏洞后，按照公开披露漏洞申请流程提交CVE。

　　个人博客

　　使用个人博客也是一个很好的方法，但有可能用于博客中的改动导致漏洞链接失效。适合审核后删除链接，保证挖矿技术不外泄。这样CVE申请通过后就可以删除个人博客上的链接了。从技术共享的角度，不推荐。博客可以是个人机构或博客花园等。

　　公开方式与GITHUB个人项目类似。使用模板在博客中描述细节，然后按照公开披露漏洞流程提交CVE申请，这里不再赘述。

　　哈克龙

　　HACKERONE 是全球知名的漏洞公共测试平台，您可以通过该平台公开漏洞。选择受影响的供应商并提交报告。披露流程参考，提交报告需用英文沟通。维护者或漏洞验证者或研发人员将对提交的条件进行复制和评分。交流的时候可以询问是否可以提供CVE编号来记录这个问题。如果问题足以引起相关人员的注意，就会有人帮忙提交CVE或者个人按照公开的漏洞披露流程提交。

　　GitHub 问题

　　GITHUB issue是托管软件项目对GITHUB项目的问题反馈。不建议直接公开上面的漏洞，因为漏洞可能会导致关心项目的人在修复前怀着恶意使用它，其次对项目用户造成不利影响，最后还有一些项目归档问题。这个方法网上已经发布了文章，不再赘述。

　　CVE中文应用站

　　CVE中文申请站点是专门为提交中文漏洞而设立的站点。您可以发送电子邮件或网页提交漏洞，报告可以用中文编写。该网站目前已关闭，稍后可能会开放。

　　CNVD

　　CNVD提交漏洞审查后，使用漏洞公告链接通过CVE公开披露申请流程提交。但是这个方法，笔者没有测试，有人测试成功。

　　总结

　　有多种方法可以申请 CVE 编号。目前笔者仅根据经验总结了这些。如有不完善之处，欢迎正正。如果有更多申请CVE号码的方式，请帮忙补充。