在做安全、运维、等保、分保,甚至只是刷漏洞通告时,你一定绕不开一个东西——CVE 编号。
比如:CVE-2025-12345。
那它到底是什么?和 CNVD、CNNVD 有什么关系?为什么几乎所有漏洞都“先有 CVE”?
这篇文章,一次讲透。
一、CVE 到底是什么?
CVE(Common Vulnerabilities and Exposures),中文一般称为通用漏洞披露编号体系。
你可以把它理解成一句话:
CVE 是“全球统一的漏洞身份证号”。
只要一个漏洞被正式确认、公开,就会分配一个唯一的 CVE 编号,供全球安全社区统一引用。
https://cve.mitre.org/
二、CVE 是谁在管的?
CVE 项目由 MITRE 负责维护,背后得到美国国土安全部等机构支持。
他们主要干三件事:
制定编号规则
授权编号机构(CNA)
维护全球 CVE 列表
注意:
MITRE 不负责漏洞打分、不负责风险评估、不负责修复建议,它只负责——
“这个漏洞叫谁”
三、CVE 编号长什么样?
标准格式如下:
CVE-YYYY-NNNNN例如:
CVE-2024-3094CVE-2025-10238
含义拆解:
❗ 重要误区:
编号大 ≠ 漏洞更严重
编号只代表“登记顺序”
四、谁有资格分配 CVE?
不是谁发现漏洞都能直接给 CVE。
这就涉及一个关键概念:
CNA(CVE Numbering Authority)
CNA 是 被 MITRE 授权、可以直接分配 CVE 编号的机构或厂商。
常见 CNA 包括:
操作系统 / 软件厂商(如 Linux 发行版、数据库厂商)
大型安全厂商
国家级漏洞平台
国际安全组织
📌 流程简化版:
发现漏洞
↓
提交给 CNA
↓
分配 CVE 编号
↓
全球同步使用五、CVE、CNVD、CNNVD 到底什么关系?
这是国内最常被问混的地方。
一张表讲清楚
📌 关键逻辑:
CVE 是“编号源头”
CNVD / CNNVD 是“本地解读与再发布”
一个漏洞的真实传播路径,通常是:
漏洞发现
→ 分配 CVE
→ NVD / CNVD / CNNVD 同步
→ 企业安全通告 / 漏洞扫描器识别六、CVE 和 CVSS 是一回事吗?
不是,而且这是高频误区。
两者区别:
举个例子:
CVE-2025-12345→ 漏洞编号CVSS 9.8(Critical)→ 漏洞严重程度
七、CVE 在企业里有什么实际用处?
1️⃣ 安全运维
漏洞扫描器几乎全部基于 CVE
修不修?优先级?都看 CVE + CVSS
2️⃣ 等保 / 分保 / 审计
漏洞整改报告必须引用 CVE 编号
没 CVE,审计很难认
3️⃣ 资产与补丁管理
“哪些系统受影响?”
“哪个补丁修了哪个漏洞?”
→ 全靠 CVE 关联
八、去哪里查 CVE?
官方 & 常用入口
MITRE CVE 列表
https://cve.mitre.orgNVD(最权威评分)
https://nvd.nist.govCNVD(国内解读)
https://www.cnvd.org.cn
九、一句话总结
CVE 是全球漏洞世界的“身份证系统”
没有 CVE,漏洞无法被统一识别、传播和管理。