Falsehoods People Believe about CVE's
a year ago
- #vulnerability
- #CVE
- #security
- CVE常被错误地与‘漏洞’、‘漏洞利用’、‘安全缺陷’等术语混用
- 许多人误以为CVE等同于软件漏洞,这种观点是错误的
- 并非所有公开披露的漏洞都会被分配CVE编号
- 分配CVE编号并不必然意味着存在实际漏洞
- CVE可能针对琐碎问题分配,而不仅限于重大缺陷
- CVE编号体系曾为硬件漏洞分配过编号
- 一个CVE编号并不总是对应单一漏洞或单一产品
- CVE编号中的年份并不总是代表该编号的发布年份
- CVE条目不一定包含修复方案、技术细节或CVSS评分
- CVE可能存在重复编号、撤销或争议情况
- 产品拥有的CVE数量不能直接反映其安全水平
- CVE编号分配并非总是快速或必然的,即使漏洞已在会议上讨论
- CVE编号的分配并不总是能获得厂商和研究人员的双方认可
- CVE体系无法完全避免政治因素或人为错误
- CVE并非政府项目,也不仅限于美国使用