CVE编号申请详细指南

CVE编号申请详细指南 一、前言 CVE（Common Vulnerabilities and Exposures）是国际通用的漏洞编号系统，为公开披露的网络安全漏洞提供唯一的标识符。本指南将详细介绍如何申请CVE编号，包括申请流程、注意事项以及常见问题。 二、申请前准备 确认漏洞唯一性 ：在申请前，建议在CVE官网搜索系统名称，确认你的漏洞是否已被他人提交。 准备漏洞详细信息 ：包括受影响的系统/组件、版本号、漏洞类型、影响程度等。 三、CVE编号申请流程 第一步：提交初始申请 访问CVE官方网站： https://cveform.mitre.org/ 选择"Report Vulnerability/Request CVE ID"选项 填写以下必填信息： 漏洞类型 系统名称及版本（Affected component(s)） 漏洞简要描述 可选填写项： 攻击类型（Attack type） 影响程度（Impact） 攻击向量（Attack vector(s)）：简要描述漏洞利用过程 建议的漏洞描述（Suggested description） 发现者信息（Discoverer(s)/Credits） 参考资料（Reference(s)） 提交申请后，几分钟内会收到确认邮件，表示CVE已收到请求并开始处理。 第二步：等待初步审核 审核时间通常为1个月左右（可能因情况而异） 审核通过后，会收到包含以下信息的邮件： 分配的CVE编号 漏洞详细信息 PGP Key（用于后续公开申请） 第三步：申请CVE编号公开 再次访问 https://cveform.mitre.org/ 选择"Notify CVE about a publication" 填写以下信息： 之前获得的CVE编号 漏洞证明地址（必须确保审核人员可访问） 可选：输入之前收到的PGP Key（用于加密通信） 提交后几分钟内会收到确认邮件 公开审核通常较快（约半天时间） 审核通过后，CVE编号将在几小时内公开在CVE官网 四、注意事项 漏洞证明地址 ： 必须确保审核人员可以访问（如GitHub、Gitee等） 检查账户状态，避免因账户冻结导致审核失败 建议使用稳定的代码托管平台 与CNVD的区别 ： CVE编号初始状态为"保留"，必须单独申请公开 CNVD提交的漏洞可以同时申请CVE编号 一个漏洞可能同时拥有CNVD和CVE两个编号 时间预估 ： 初步审核：约1个月 公开审核：约半天 总流程：约1-2个月 五、常见问题 CNVD和CVE编号关联问题 ： 当同一个漏洞同时申请CNVD和CVE编号时，CNVD可能会发布一个新的编号并关联你的CVE编号 这是正常现象，表明漏洞被两个系统同时收录 审核不通过的可能原因 ： 漏洞证明地址不可访问 漏洞描述不清晰或不完整 漏洞已被他人提交 PGP Key使用 ： 非强制要求，但建议使用以增强通信安全性 六、总结 CVE编号申请流程相对简单但耗时较长，关键点在于： 填写完整准确的漏洞信息 提供可访问的漏洞证明 耐心等待审核 注意检查所有通信渠道（邮箱等） 通过本指南，你应该能够顺利完成CVE编号的申请流程。如果在申请过程中遇到问题，建议检查邮件沟通记录和漏洞证明的可访问性。