Inicio>Relacionado con la programación>Otro código fuente
Descargar

Nota 2024-09-17 Corrección de registros históricos del repositorio CVE: Se han corregido los registros CVE publicados originalmente antes de 2023 con fechas reservadas/publicadas/actualizadas incorrectas. Esta acción corrigió aproximadamente 27 000 registros a los que se les habían asignado fechas reservadas, publicadas o actualizadas incorrectas como parte de la adopción de registros CVE JSON 5.0.

Nota 2024-07-31 Los registros CVE ahora pueden contener un nuevo contenedor llamado Contenedor del programa CVE : este nuevo contenedor proporciona información adicional agregada por el programa CVE para incluir referencias agregadas por el programa. Es posible que los usuarios de este repositorio necesiten procesar dos contenedores. Consulte a continuación para obtener más información.

Nota 08/05/2024 5:30 p.m .: Los servicios CVE REST se actualizaron al esquema de formato de registro CVE 5.1 ​​el 08/05/2024 a las 5:30 p.m.EDT. Con esta actualización, un registro CVE en este repositorio ahora puede tener formato 5.0 o 5.1. El formato se refleja en el campo "versión de datos". Se recomienda a los usuarios de este repositorio que "validan" registros CVE que validen los registros utilizando la versión apropiada del esquema (es decir, 5.0 o 5.1) como se refleja en este campo. Los usuarios no deben determinar qué esquema usar en función de la fecha de implementación del nuevo formato (es decir, 2024-05-08 a las 5:30 p. m. EDT), ya que existen inconsistencias en los valores de fecha de publicación/actualización.

Lista CVE V5

Este repositorio es la lista CVE oficial. Es un catálogo de todos los registros CVE identificados o notificados al Programa CVE.

Este repositorio aloja archivos descargables de registros CVE en formato de registro CVE (ver el esquema). Se actualizan periódicamente (aproximadamente cada 7 minutos) mediante la API oficial de servicios CVE. Puede buscar, descargar y utilizar el contenido alojado en este repositorio, según los Términos de uso del programa CVE.

Ya no se admiten descargas de formatos heredados : todo el soporte para los formatos de descarga de contenido CVE heredados (es decir, CSV, HTML, XML y CVRF) finalizó el 30 de junio de 2024. Estos formatos de descarga heredados, que ya no se actualizarán y se eliminarán gradualmente. durante los primeros seis meses de 2024, han sido reemplazados por este repositorio como el único método admitido para las descargas de registros CVE. Obtenga más información aquí.

Contenedores de registros CVE

Los registros CVE ahora pueden constar de varios contenedores:

  • Un contenedor CNA
  • El contenedor del programa CVE
  • Múltiples contenedores opcionales específicos de ADP

Contenedor del programa CVE

Todas las referencias agregadas al programa CVE después del 31/07/2024 para un registro CVE se almacenarán en el contenedor del programa CVE de ese registro. Las referencias proporcionadas por CNA seguirán almacenándose en el contenedor CNA.

El contenedor del programa CVE se implementa en un formato de contenedor ADP en el registro CVE.

Los campos de registro JSON/CVE específicos que estarán en el contenedor del programa CVE son los siguientes:

  • adp:campo de título: " Contenedor de programa CVE "
  • adp:providerMetadata:shortName:" CVE "
  • adp: campo de referencias como se describe aquí

Las referencias en el contenedor del programa CVE mantienen el mismo formato que las referencias en un contenedor CNA.

El contenedor del programa CVE puede contener referencias que tengan la etiqueta x_transferred . Las referencias con esta etiqueta se leyeron del contenedor CNA el 31/07/2024. Esta es una copia "única" para mantener el "estado" de la lista de referencia de la CNA al 31/07/2024. Las referencias agregadas al programa CVE después de esta fecha no tendrán la etiqueta *x_transfered".

En el caso de nuevos registros CVE creados después del 31/7/2024, si no se agregan datos enriquecidos proporcionados por ningún programa, no habrá ningún contenedor de programas CVE asociado con el registro CVE.

Consideraciones de implementación:

Procesamiento de contenedores requeridos: después del 31 de julio de 2024, para recuperar toda la información sobre una vulnerabilidad reportada en el repositorio CVE, los proveedores de herramientas y los usuarios de la comunidad deberán examinar el contenedor CNA de registros CVE y el contenedor del programa CVE (si existe). Estos dos contenedores son mínimos necesarios para obtener la información básica requerida por el Programa. Todos los demás contenedores de ADP siguen siendo opcionales desde la perspectiva del Programa.

Potencial de referencias duplicadas La posibilidad de duplicaciones de referencias es un artefacto de tener más de una organización proporcionando referencias en ubicaciones separadas. Los usuarios intermedios deberán determinar la forma adecuada de resolver posibles duplicaciones de referencias entre el contenedor CNA y el contenedor del programa CVE.

Contenedor CISA-ADP

El contenedor CISA-ADP se lanzó el 4 de junio para proporcionar información de valor agregado para los registros CVE en el futuro y de manera retroactiva hasta febrero de 2024.

CISA ADP proporciona tres componentes para enriquecer los registros CVE:

  1. Categorización de vulnerabilidad específica de las partes interesadas (SSVC)
  2. Datos del catálogo de vulnerabilidades explotables conocidas (KEV)
  3. Actualizaciones de "enriquecimiento de vulnerabilidades" (por ejemplo, falta de información CVSS, CWE, CPE para registros CVE que cumplen con características de amenaza específicas y para cuando los CNA no la proporcionan por sí mismos)

Consulte el proceso CISA ADP o el sitio github de CISA Vulnrichment para obtener una descripción completa de la información que se proporciona y el formato en el que se registra.

Cómo descargar la lista CVE

Hay 2 formas principales de descargar registros CVE desde este repositorio:

  1. usando clientes git : esta es la forma más rápida de mantener actualizada la lista CVE utilizando herramientas con las que la mayoría de los desarrolladores están familiarizados. Para obtener más información, consulte la sección git a continuación.
  2. utilizando los archivos zip de lanzamientos. Para obtener más información, consulte la sección Lanzamientos a continuación.

git

Usar la herramienta de línea de comandos git o cualquier cliente de interfaz de usuario de git es la forma más sencilla de mantenerse actualizado con la lista CVE. Para comenzar, clone este repositorio: git clone [email protected]:CVEProject/cvelistV5.git . Una vez clonado, git pull en cualquier momento que necesites para obtener las últimas actualizaciones, como cualquier otro repositorio de GitHub.

Lanzamientos

Este repositorio incluye versiones de lanzamiento de todos los registros CVE actuales generados a partir de la API oficial de servicios CVE. Todos los horarios están listados en Hora Universal Coordinada (UTC). Cada versión contiene una descripción de los CVE agregados o actualizados desde la última versión y una sección de Recursos que contiene las descargas. Tenga en cuenta que los archivos zip son bastante grandes y, por lo tanto, llevará algún tiempo descargarlos.

  • Las descargas de referencia se emiten al final de cada día a medianoche y se publican en Activos en el siguiente formato de nombre de archivo: Year-Month-Day_all_CVEs_at_midnight.zip (por ejemplo, 2024-04-04_all_CVEs_at_midnight.zip ). Este archivo permanece sin cambios durante 24 horas. Si actualiza su lista CVE utilizando archivos zip diariamente (o con menos frecuencia), este es el mejor que puede utilizar.
  • Las actualizaciones cada hora también se proporcionan en Activos utilizando el formato de nombre de archivo: Year-Month-Day _delta_CVEs_at_Hour 00Z.zip (por ejemplo, 2024-04-04_delta_CVEs_at_0100Z.zip ). Esto es útil si necesita que su lista CVE sea precisa cada hora. Tenga en cuenta que este archivo solo contiene los deltas desde el archivo zip de referencia.

Problemas conocidos con el repositorio cvelistV5

Actualmente, el programa CVE tiene conocimiento de los siguientes problemas con respecto a las descargas de la lista CVE. Estas cuestiones están siendo abordadas actualmente por el Grupo de Trabajo de Automatización CVE (AWG). Las actualizaciones o resoluciones se anotarán aquí cuando estén disponibles.

  1. Actualizado el 17/09/2024: Algunos registros CVE publicados antes de 2023 tenían una fecha de publicación, reserva y actualización incorrecta. A partir del 17/09/2024 esto se ha corregido.

  2. Agregado el 17/09/2024: Existen discrepancias en las fechas de publicación y actualización para los registros CVE publicados por MITRE CNA-LR entre el 8 de mayo de 2024 y el 7 de junio de 2024 (que afectan aproximadamente 515 registros).
    Los usuarios de este repositorio de métricas CVE (y otros análisis sensibles a publicaciones/actualizaciones de datos) deben tener en cuenta este problema. Próximamente habrá una solución.

Problemas de informes

Utilice uno de los siguientes:

  • Informar problemas del repositorio y descargar archivos (a través del Rastreador de problemas del repositorio cvelistV5 en GitHub)
  • Informar problemas con el contenido de un registro CVE (a través de los formularios web de solicitud de programa CVE)

Solicitudes de extracción no permitidas

Este repositorio contiene registros CVE publicados por socios del programa CVE. No acepta solicitudes de extracción.

Clonando este repositorio

Puedes clonar el repositorio usando git clone. Sin embargo, no se aceptarán solicitudes de extracción.

Ayuda

Utilice los formularios web de solicitud CVE y seleccione "Otro" en el menú desplegable.

Expandir
Información adicional
Aplicaciones relacionadas
Recomendado para ti
Información relacionada Todo
Comentarios de los usuarios