产品概述
CVE(Common Vulnerabilities and Exposures,通用漏洞披露)是由美国非营利组织 MITRE Corporation 维护并运营的全球性漏洞标识标准。该项目始于1999年,为了为公开已知的网络安全漏洞和暴露提供统一的命名方案。CVE 的核心价值在于消除多源漏洞情报间的“命名混乱”——无论安全厂商、研究者或系统管理员使用何种工具或语言,只要引用同一个 CVE ID 即可准确指向同一个漏洞实体。这种标准化机制极大降低了漏洞管理中的沟通成本和误判风险,成为全球漏洞生态的“通用语言”。
核心功能
- 唯一标识符分配: 每个被收录的漏洞都会获得一个形如
CVE-YYYY-NNNNN的永久 ID,确保跨平台、跨厂商的精准关联。 - 标准化描述库: 包含对漏洞的简要技术描述(如影响组件、攻击向量、CVSS 评分等),便于快速理解风险本质。
- 公共搜索引擎: MITRE 官网提供免费公开的 CVE 列表查询接口,支持按年份、产品、关键词等过滤,是安全从业者的首选信息源。
- 多源协作机制: 任何发现者或厂商均可通过 CVE 编号授权机构(CNA)提交漏洞,经审核后获得 ID,形成开放的供应链安全协作网络。
- 版本与状态追踪: 每个 CVE 条目附带“保留(Reserved)”、“公开(Public)”、“争议(Disputed)”等状态标记,帮助用户判断漏洞的成熟度与可信度。
适用人群
CVE 面向所有涉及网络安全角色:安全研究员 在撰写漏洞分析报告或 PoC 时,通过 CVE ID 确保成果可被精确引用;软件/硬件厂商 在发布安全公告或补丁时,通过 CVE ID 向客户传递影响范围;SOC 分析师与运维人员 在漏洞扫描或补丁管理流程中,依靠 CVE ID 关联漏洞情报与资产清单;CISO 与合规审计团队 在评估企业暴露面或满足监管要求时,将 CVE 覆盖率作为关键指标。典型场景包括:应急响应时快速检索高危 CVE 详情、开源组件依赖检查中以 CVE 为基准判定风险、以及安全评估报告中引用 CVE 作为技术证据。
行业地位与关键数据
CVE 已积累超过 24 万个编号(截至2026年),覆盖操作系统、数据库、Web 应用、IoT 固件等全品类。它被全球主流漏洞扫描器、SIEM、容器镜像扫描工具(如 Trivy、Snyk)广泛集成,几乎所有商业化或开源的漏洞管理系统都将 CVE ID 作为核心索引字段。与同类替代方案(如 CNVD、NVD)相比,CVE 的主要优势在于 中立性(由 MITRE 独立运营)和 普遍性(任何厂商均可申请成为 CNA)。CVE 本身完全免费开放,无需注册即可访问所有数据,且官方提供基于 XML/JSON 的批量下载接口,方便企业自动化集成。对于追求全球合规和跨厂商协作的组织而言,CVE 是不可替代的基础设施。