CVE 是公共漏洞和披露的缩写,也被称为通用漏洞披露,该漏洞数据库由美国非营利组织 MITRE 运营维护。从事安全方面的网友应该知道发现漏洞后申请 CVE 编号并不是一件很难的事情,但这也导致部分开源机构的不满,比如 Linux Kernel 项目。
日前 Linux Kernel 宣布已成为 Linux 中发现的漏洞的 CVE 编号机构 (CNA),后续至少关于内核方面的漏洞,将由 Linux Kernel 项目自行分配,不再由 MITRE 分配 CVE 编号。
为什么会引起不满呢?Linux Kernel 项目组认为整个系统 (指的是漏洞披露系统) 很多方面都被破坏了,由于 Linux 内核金额处在系统的底层,几乎任何错误都可能被利用拿来危害内核的安全,但当错误被修复时,利用的可能性通常并不明显。
过去 CVE 分配团队过于谨慎,将 CVE 编号分配黑他们发现或收到的任何错误修复,这也是为什么 Linux Kernel 团队发布了看似大量的 CVE 相关的东西。
接下来 Linux Kernel 未修复的安全问题不会提前分配 CVE 编号,只有在漏洞被修复后才会分配 CVE 编号,这样可以通过正确的方式来追踪原始修复的 git commit ID。
此外对于任何非稳定版、非 LTS 版这类正式版本的 Linux Kernel 发现的任何漏洞,都不会再分配 CVE 编号,因为这类版本本身就不是正式支持的。
最后 Linux Kernel 内核团队也感觉 cve.org 小组和董事会,因为内核团队申请成为 CNA 的流程非常顺利并获得了他们的帮助,让内核团队成为 CNA 变成现实。