CVE(Common Vulnerabilities and Exposures 通用漏洞披露)介绍(给每个已公开安全漏洞分配一个唯一编号)MITRE公司、CNA、CVE-年份-编号、CVSS评分
文章目录
- CVE(Common Vulnerabilities and Exposures)详解:漏洞世界的“统一语言”
- 一、什么是 CVE?
- 二、CVE 是谁在维护?
- 三、CVE 编号是怎么组成的?
- 四、CVE ≠ 漏洞详情
- 五、CVE 与 CVSS 的关系
- 六、CVE 在 CI/CD 中的作用
- 1️⃣ 扫描镜像
- 2️⃣ 匹配 CVE 数据库
- 3️⃣ 评估风险(CVSS)
- 4️⃣ 执行策略
- 七、为什么 CVE 很重要?
- 1️⃣ 标准化沟通
- 2️⃣ 自动化安全能力的基础
- 3️⃣ 安全审计与合规
- 八、工程实践建议(重点)
- ✅ 1. 明确阻断策略
- ✅ 2. 建立 CVE 豁免机制(非常关键)
- ✅ 3. 定期重新扫描
- ✅ 4. 优先修复“可利用”的漏洞
- 九、总结
CVE(Common Vulnerabilities and Exposures)详解:漏洞世界的“统一语言”
在现代软件工程中,尤其是 CI/CD 安全实践(如使用 Trivy / Snyk 扫描镜像),CVE 是绕不开的核心概念。如果不了解 CVE,你很难真正理解“漏洞扫描”到底在扫描什么。
这篇文章带你系统梳理:什么是 CVE、它是怎么来的、如何使用,以及它在工程实践中的意义。
一、什么是 CVE?
CVE(Common Vulnerabilities and Exposures),中文通常称为“通用漏洞披露”。
简单来说:
CVE 是给每一个已公开的安全漏洞分配一个唯一编号的标准体系。
你可以把它理解为:
👉漏洞的“身份证号”
例如:
- CVE-2021-44228(著名的 Log4Shell 漏洞)
- CVE-2023-34362
- CVE-2024-3094(xz 后门事件)
这些编号背后,代表的是一个具体、可复现、被公开披露的安全问题。
二、CVE 是谁在维护?
CVE 项目由:
- MITRE Corporation 负责运营
- 得到 U.S. Department of Homeland Security 支持
同时,全球还有很多CNA(CVE Numbering Authorities),例如:
- Red Hat
- Microsoft
它们可以直接为漏洞分配 CVE 编号。
三、CVE 编号是怎么组成的?
格式非常简单:
CVE-年份-编号例如:
- CVE-2024-12345
含义:
- 2024:漏洞被记录或公开的年份
- 12345:序列号(没有特殊含义)
⚠️ 注意:
CVE 编号不包含漏洞严重性信息,只是一个标识符。
四、CVE ≠ 漏洞详情
很多人会误以为 CVE 本身包含完整漏洞信息,其实不是。
CVE 只是一个索引,真正的细节通常来自:
- National Vulnerability Database(NVD)
- 各厂商安全公告
- GitHub Security Advisory
在 NVD 中,你会看到:
- 漏洞描述
- 影响版本
- 修复方案
- CVSS 评分(严重程度)
五、CVE 与 CVSS 的关系
这里很容易混淆两个概念:
| 概念 | 作用 |
|---|---|
| CVE | 唯一标识漏洞 |
| CVSS | 评估漏洞严重程度 |
CVSS(Common Vulnerability Scoring System)会给漏洞打分:
- 0.0–3.9:Low
- 4.0–6.9:Medium
- 7.0–8.9:High
- 9.0–10:Critical
👉 在 CI 中设置的示例规则:
Critical / High 阻断发布,Medium 需豁免
本质就是基于CVSS 评分 + CVE 数据做决策。
六、CVE 在 CI/CD 中的作用
示例规范:
CI 中执行容器镜像漏洞扫描,高危阻断发布
背后的逻辑其实是:
1️⃣ 扫描镜像
工具(如 Trivy / Snyk)会分析:
- OS 包(apt / yum)
- 语言依赖(npm / pip / go mod)
2️⃣ 匹配 CVE 数据库
扫描工具会查询:
- NVD
- Vendor DB
- 自建漏洞库
找出:
👉 “这个版本的库是否关联某个 CVE”
3️⃣ 评估风险(CVSS)
例如:
- openssl 1.1.1 → CVE-XXXX → CVSS 9.8 → Critical
4️⃣ 执行策略
- Critical / High → ❌ 阻断发布
- Medium → ⚠️ 允许但必须说明豁免理由
- Low → 通常忽略或记录
七、为什么 CVE 很重要?
1️⃣ 标准化沟通
没有 CVE 时:
“某个 openssl 漏洞” ❌(模糊)
有 CVE:
“CVE-2023-0286” ✅(全球唯一)
2️⃣ 自动化安全能力的基础
几乎所有安全工具都依赖 CVE:
- Trivy
- Snyk
- Clair
- Dependabot
👉 没有 CVE,就无法自动扫描和决策
3️⃣ 安全审计与合规
在审计中你会看到:
- 是否存在未修复 CVE?
- 是否有风险接受记录(waiver)?
这直接关系到:
- ISO 27001
- SOC 2
- 企业安全基线
八、工程实践建议(重点)
结合你给的规范,可以落地为:
✅ 1. 明确阻断策略
fail_on:-CRITICAL-HIGH✅ 2. 建立 CVE 豁免机制(非常关键)
中危漏洞不能简单忽略,需要:
记录 CVE ID
说明理由(例如:
- 不可利用(not exploitable)
- 仅开发环境
- 有 WAF/隔离保护)
设置过期时间(避免永久豁免)
✅ 3. 定期重新扫描
CVE 是“动态的”:
- 今天是 Medium
- 明天可能变成 High(评分更新)
👉 建议:
- 每日扫描基础镜像
- 每次构建扫描应用镜像
✅ 4. 优先修复“可利用”的漏洞
不是所有 CVE 都一样重要:
- 有 exploit 的 CVE > 没有 exploit 的
- 外网暴露服务 > 内部组件
九、总结
一句话总结:
CVE 是漏洞的统一编号体系,是现代软件安全自动化的基础。
在 CI 安全策略中:
- CVE = “发现问题”
- CVSS = “评估风险”
- Pipeline 策略 = “决定是否发布”
三者组合,才构成完整的 DevSecOps 闭环。