CVEProject/cvelistV5

# CVE 列表 V5 本仓库是官方的 [CVE 列表](https://www.cve.org/ResourcesSupport/Glossary?activeTerm=glossaryCVEList)。它是由 [CVE 计划](https://www.cve.org/)识别或报告的所有 [CVE 记录](https://www.cve.org/ResourcesSupport/Glossary?activeTerm=glossaryRecord)的目录。 本仓库托管了 [CVE 记录格式](https://www.cve.org/AllResources/CveServices#cve-json-5)（查看 [schema](https://github.com/CVEProject/cve-schema))）的 CVE 记录可下载文件。它们使用官方 CVE Services API 定期更新（大约每 7 分钟一次）。您可以根据 [CVE 计划使用条款](https://www.cve.org/Legal/TermsOfUse)搜索、下载和使用本仓库中托管的内容。 **不再支持旧版格式下载**——对旧版 CVE 内容下载格式（即 CSV、HTML、XML 和 CVRF）的所有支持已于 2024 年 6 月 30 日结束。这些不再更新并在 2024 年前六个月逐步淘汰的旧版下载格式，已被本仓库取代，成为 CVE 记录下载唯一受支持的方式。在[此处](https://www.cve.org/Media/News/item/blog/2024/07/02/Legacy-CVE-Download-Formats-No-Longer-Supported)了解更多信息。 ## CVE 记录容器 CVE 记录现在可以由多个容器组成： * 一个 CNA 容器 * CVE 计划容器 * 可选的多个 ADP 特定容器 ### CVE 计划容器 2024 年 7 月 31 日之后，CVE 计划为 CVE 记录添加的所有引用将存储在该记录的 CVE 计划容器中。CNA 提供的引用将继续存储在 CNA 容器中。 CVE 计划容器在 CVE 记录中以 [ADP 容器格式](https://cveproject.github.io/cve-schema/schema/docs/#oneOf_i0_containers_adp)实现。 CVE 计划容器中将包含的特定 JSON/CVE 记录字段如下： * adp:title 字段：“**CVE Program Container**” * adp:providerMetadata:shortName:"**CVE**" * adp:references 字段，如[此处](https://cveproject.github.io/cve-schema/schema/docs/#oneOf_i0_containers_adp_items_references)所述 CVE 计划容器中的引用保持与 CNA 容器中的引用相同的格式。 CVE 计划容器可能包含带有 *x_transferred* 标签的引用。带有此标签的引用是在 2024 年 7 月 31 日从 CNA 容器中读取的。这是一次“一次性”复制，用于维护截至 2024 年 7 月 31 日 CNA 引用列表的“状态”。此日期之后 CVE 计划添加的引用将不会有 *x_transfered* 标签。 对于 2024 年 7 月 31 日之后创建的新 CVE 记录，如果没有添加计划提供的丰富化数据，则不会有与该 CVE 记录关联的 CVE 计划容器。 #### 实施注意事项： *必需容器处理：* 2024 年 7 月 31 日之后，要检索 CVE 仓库中关于已报告漏洞的所有信息，工具供应商和社区用户需要检查 CVE 记录 CNA 容器和 CVE 计划容器（如果存在）。这两个容器是获取计划所需核心信息的最低要求。从计划的角度来看，所有其他 ADP 容器仍然是可选的。 *重复引用的可能性* 存在重复引用的可能性是在不同位置由多个组织提供引用的人为产物。下游用户将需要确定解决 CNA 容器和 CVE 计划容器之间潜在引用重复的适当方法。 ### CISA-ADP 容器 CISA-ADP 容器于 6 月 4 日推出，旨在为今后的 CVE 记录提供增值信息，并追溯至 2024 年 2 月。 CISA ADP 提供三个组件来丰富 CVE 记录： 1. [利益相关者特定漏洞分类 (SSVC)](https://www.cisa.gov/stakeholder-specific-vulnerability-categorization-ssvc) 2. [已知可利用漏洞 (KEV)](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)目录数据 3. “Vulnrichment”更新（例如，针对满足特定威胁特征且 CNA 未自行提供的 CVE 记录，补充缺失的 [CVSS](https://www.first.org/cvss/)、[CWE](https://cwe.mitre.org/)、[CPE 信息](https://nvd.nist.gov/products/cpe)) 有关提供的信息及其记录格式的完整说明，请参阅 [CISA ADP 流程](https://www.cve.org/ProgramOrganization/ADPs)或 [CISA Vulnrichment github 站点](https://github.com/cisagov/vulnrichment)。 ## 如何下载 CVE 列表 主要有两种方法可以从本仓库下载 CVE 记录： 1. 使用 [`git` 客户端](https://git-scm.com/) —— 这是使用开发人员熟悉的工具保持 CVE 列表最新的最快方式。有关更多信息，请参阅下面的 [`git` 部分](#git) 2. 使用 Releases zip 文件。有关更多信息，请参阅下面的 [Releases 部分](#releases)。 ## git 使用 [`git` 命令行工具](https://git-scm.com/)或[任何 git UI 客户端](https://git-scm.com/downloads/guis)是保持 CVE 列表最新的最简单方法。首先，克隆此仓库：`git clone git@github.com:CVEProject/cvelistV5.git`。 克隆后，您可以随时使用 `git pull` 获取最新更新，就像任何其他 GitHub 仓库一样。 ## 版本发布 本仓库包含从官方 CVE Services API 生成的所有当前 CVE 记录的[发布版本](https://github.com/CVEProject/cvelistV5/releases)。所有时间均以[协调世界时 (UTC)](https://en.wikipedia.org/wiki/Coordinated_Universal_Time)列出。每个版本都包含自上次发布以来添加或更新的 CVE 描述，以及包含下载内容的 Assets 部分。请注意，zip 文件非常大，因此需要一些时间下载。 * 基准下载文件在每天午夜结束时发布，并在 Assets 下以以下文件名格式发布：`Year-Month-Day_all_CVEs_at_midnight.zip`（例如 `2024-04-04_all_CVEs_at_midnight.zip`）。此文件在 24 小时内保持不变。如果您每天（或频率更低）使用 zip 文件更新 CVE 列表，这是最佳选择。 * 每小时更新也通过以下文件名格式在 Assets 下提供：`Year-Month-Day _delta_CVEs_at_Hour 00Z.zip`（例如 `2024-04-04_delta_CVEs_at_0100Z.zip`）。如果您需要 CVE 列表每小时都准确，这非常有用。请注意，此文件仅包含自基准 zip 文件以来的增量。 ## cvelistV5 仓库的已知问题 CVE 计划目前已知悉有关 CVE 列表下载的以下问题。[CVE 自动化工作组 (AWG)](https://www.cve.org/ProgramOrganization/WorkingGroups#AutomationWorkingGroupAWG)目前正在解决这些问题。更新或解决方法将在可用时在此处注明。 1. **2024 年 9 月 17 日更新：** 2023 年之前发布的一些 CVE 记录的发布、保留和更新日期不正确。截至 2024 年 9 月 17 日，此问题已更正。 2. **2024 年 9 月 17 日添加：** MITRE CNA-LR 在 2024 年 5 月 8 日至 2024 年 6 月 7 日之间发布的 CVE 记录存在发布和更新日期差异（影响约 515 条记录）。 使用此仓库进行 CVE 指标（以及其他对发布/更新数据敏感的分析）的用户应知晓此问题。修复方案即将推出。 ## 报告问题 请使用以下方式之一： - [报告仓库和下载文件问题](https://github.com/CVEProject/cvelistV5/issues)（通过 GitHub 上的 cvelistV5 仓库 Issue Tracker） - [报告 CVE 记录内容的问题](https://cveform.mitre.org/)（通过 CVE 计划请求 Web 表单） ## 不允许 Pull Requests 本仓库包含 CVE 计划合作伙伴发布的 CVE 记录。它不接受 pull requests。 ## 克隆此仓库 您可以使用 [git clone](https://github.com/git-guides/git-clone) 克隆仓库。但是，pull requests 将不被接受。 ## 帮助 请使用 [CVE 请求 Web 表单](https://cveform.mitre.org/)并从下拉菜单中选择“Other”。

标签：API, CVE, CVE List, CVE Program, DevSecOps, Homebrew安装, IT 安全, JSON 5, meg, XSS, 上游代理, 信息安全, 安全数据, 官方数据源, 数字签名, 数据仓库, 数据格式, 漏洞分析, 漏洞库, 漏洞情报, 漏洞披露, 网络安全, 网络安全研究, 路径探测, 隐私保护, 风险治理