CVE是公共漏洞和披露的縮寫,也被稱為通用漏洞披露,該漏洞數據庫由美國非營利組織MITRE運營維護。從事安全方面的網友應該知道發現漏洞後申請CVE編號並不是一件很難的事情,但這也導致部分開源機構的不滿,比如LinuxKernel項目。
日前 Linux Kernel 宣佈已成為 Linux 中發現的漏洞的 CVE 編號機構 (CNA),後續至少關於內核方面的漏洞,將由 Linux Kernel 項目自行分配,不再由 MITRE 分配 CVE 編號。
為什麼會引起不滿呢?Linux Kernel 項目組認為整個系統 (指的是漏洞披露系統) 很多方面都被破壞,由於 Linux 內核金額處在系統的底層,幾乎任何錯誤都可能被利用拿來危害內核的安全,但當錯誤被修復時,利用的可能性通常並不明顯。
過去 CVE 分配團隊過於謹慎,將 CVE 編號分配黑他們發現或收到的任何錯誤修復,這也是為什麼 Linux Kernel 團隊發佈看似大量的 CVE 相關的東西。
接下來 Linux Kernel 未修復的安全問題不會提前分配 CVE 編號,隻有在漏洞被修復後才會分配 CVE 編號,這樣可以通過正確的方式來追蹤原始修復的 git commit ID。
此外對於任何非穩定版、非 LTS 版這類正式版本的 Linux Kernel 發現的任何漏洞,都不會再分配 CVE 編號,因為這類版本本身就不是正式支持的。
最後 Linux Kernel 內核團隊也感覺 cve.org 小組和董事會,因為內核團隊申請成為 CNA 的流程非常順利並獲得他們的幫助,讓內核團隊成為 CNA 變成現實。