Linux CVEs, more than you ever wanted to know
5 months ago
- #Linux
- #CVE
- #Security
- Linux在近两年前成为CNA(证书编号机构),使得kernel.org社区负责为Linux内核分配CVE编号。
- 自成为CNA以来,Linux已成为按数量计算最大的CVE生成者之一,2024年排名第三,2025年跃居第一。
- 作者就此议题进行过多次演讲,包括在开源安全播客、Kernel Recipes 2024、OSS香港2024及OSS日本2024等场合。
- 2025年作者专注于CRA(通用风险评估)工作,但CVE分配机制仍在持续改进以解决初期问题。
- CVE分配流程不会直接体现在Linux内核源码中,仅通过linux-cve-announce邮件列表更新可见。
- 内核文档中概述了CVE申请流程及自动分配机制。
- 作者计划撰写系列文章,详细阐述CVE分配工具的演进、Linux内核版本管理及CVE追踪方法。
- 本系列旨在为其他面临大规模漏洞报告处理难题的开源项目提供参考方案。