Page d'accueil>Lié à la programmation>Autre code source
Télécharger

Remarque 2024-09-17 Correction des enregistrements historiques du référentiel CVE : les enregistrements CVE initialement publiés avant 2023 avec des dates de réservation/publiation/mise à jour incorrectes ont été corrigés. Cette action a corrigé environ 27 000 enregistrements auxquels des dates de réservation, de publication ou de mise à jour incorrectes avaient été attribuées dans le cadre de l'adoption des enregistrements JSON 5.0 CVE.

Remarque 2024-07-31 Les enregistrements CVE peuvent désormais contenir un nouveau conteneur appelé conteneur du programme CVE : ce nouveau conteneur fournit des informations supplémentaires ajoutées par le programme CVE pour inclure les références ajoutées au programme. Les utilisateurs de ce référentiel devront peut-être traiter deux conteneurs. Voir ci-dessous pour plus d'informations.

Remarque 08/05/2024 à 17h30 : Les services CVE REST ont été mis à jour vers le schéma de format d'enregistrement CVE 5.1 ​​le 08/05/2024 à 17h30 HAE. Avec cette mise à jour, un enregistrement CVE dans ce référentiel peut désormais être un enregistrement au format 5.0 ou 5.1. Le format est reflété dans le champ « dataversion ». Il est conseillé aux utilisateurs de ce référentiel qui « valident » les enregistrements CVE de valider les enregistrements en utilisant la version appropriée du schéma (c'est-à-dire 5.0 ou 5.1), comme indiqué dans ce champ. Les utilisateurs ne doivent pas déterminer quel schéma utiliser en fonction de la date de déploiement du nouveau format (c'est-à-dire le 08/05/2024 à 17h30 HAE), car il existe des incohérences dans les valeurs de date publiées/mises à jour.

Liste CVE V5

Ce référentiel est la liste officielle CVE. Il s'agit d'un catalogue de tous les enregistrements CVE identifiés ou signalés au programme CVE.

Ce référentiel héberge des fichiers téléchargeables d'enregistrements CVE au format d'enregistrement CVE (voir le schéma). Ils sont mis à jour régulièrement (environ toutes les 7 minutes) à l'aide de l'API officielle des services CVE. Vous pouvez rechercher, télécharger et utiliser le contenu hébergé dans ce référentiel, conformément aux conditions d'utilisation du programme CVE.

Les téléchargements de formats hérités ne sont plus pris en charge : toute la prise en charge des anciens formats de téléchargement de contenu CVE (c'est-à-dire CSV, HTML, XML et CVRF) a pris fin le 30 juin 2024. Ces formats de téléchargement hérités, qui ne seront plus mis à jour et ont été progressivement supprimés. au cours des six premiers mois de 2024, ont été remplacés par ce référentiel comme seule méthode prise en charge pour les téléchargements d'enregistrements CVE. Apprenez-en davantage ici.

Conteneurs d'enregistrements CVE

Les enregistrements CVE peuvent désormais être constitués de plusieurs conteneurs :

  • Un conteneur CNA
  • Le conteneur du programme CVE
  • Plusieurs conteneurs spécifiques à ADP en option

Conteneur du programme CVE

Toutes les références ajoutées au programme CVE après le 31/07/2024 pour un enregistrement CVE seront stockées dans le conteneur du programme CVE de cet enregistrement. Les références fournies par CNA continueront d’être stockées dans le conteneur CNA.

Le conteneur du programme CVE est implémenté dans un format de conteneur ADP dans l'enregistrement CVE.

Les champs d'enregistrement JSON/CVE spécifiques qui seront dans le conteneur du programme CVE sont les suivants :

  • champ adp:title : « Conteneur de programme CVE »
  • adp:providerMetadata:shortName:" CVE "
  • adp:champ de références comme décrit ici

Les références dans le conteneur de programme CVE conservent le même format que les références dans un conteneur CNA.

Le conteneur du programme CVE peut contenir des références comportant la balise x_transferred . Les références avec cette balise ont été lues à partir du conteneur CNA le 31/07/2024. Il s'agit d'une copie « unique » pour maintenir « l'état » de la liste de référence de l'AIIC au 31/07/2024. Les références ajoutées au programme CVE après cette date n'auront pas la balise *x_transfered".

Dans le cas de nouveaux enregistrements CVE créés après le 31/07/2024, si aucun programme fourni de données enrichies n'est ajouté, aucun conteneur de programme CVE n'est associé à l'enregistrement CVE.

Considérations de mise en œuvre :

Traitement des conteneurs requis : après le 31/07/2024, pour récupérer toutes les informations sur une vulnérabilité signalée dans le référentiel CVE, les fournisseurs d'outils et les utilisateurs de la communauté devront examiner le conteneur CNA d'enregistrement CVE et le conteneur de programme CVE (s'il en existe un). Ces deux conteneurs sont minimalement requis pour obtenir les informations de base requises par le programme. Tous les autres conteneurs ADP restent facultatifs du point de vue du programme.

Potentiel de références en double La possibilité de duplication de références est le résultat du fait que plus d'une organisation fournit des références dans des endroits distincts. Les utilisateurs en aval devront déterminer la manière appropriée de résoudre les duplications de références potentielles entre le conteneur CNA et le conteneur du programme CVE.

Conteneur CISA-ADP

Le conteneur CISA-ADP a été lancé le 4 juin pour fournir des informations à valeur ajoutée pour les enregistrements CVE à l'avenir, et rétroactivement jusqu'en février 2024.

Le CISA ADP fournit trois composants pour enrichir les enregistrements CVE :

  1. Catégorisation des vulnérabilités spécifiques aux parties prenantes (SSVC)
  2. Données du catalogue des vulnérabilités exploitables connues (KEV)
  3. Mises à jour de « vulnérabilité » (par exemple, informations CVSS, CWE, CPE manquantes pour les enregistrements CVE qui répondent à des caractéristiques de menace spécifiques, et lorsque les CNA ne les fournissent pas eux-mêmes)

Référencez le processus CISA ADP ou le site github CISA Vulnrichment pour une description complète des informations fournies et du format dans lequel elles sont enregistrées.

Comment télécharger la liste CVE

Il existe 2 manières principales de télécharger des enregistrements CVE à partir de ce référentiel :

  1. utiliser des clients git — c'est le moyen le plus rapide de maintenir la liste CVE à jour à l'aide d'outils avec lesquels la plupart des développeurs sont familiers. Pour plus d'informations, consultez la section git ci-dessous
  2. en utilisant les fichiers zip des versions. Pour plus d’informations, consultez la section Versions ci-dessous.

git

L'utilisation de l'outil de ligne de commande git ou de tout client git UI est le moyen le plus simple de rester à jour avec la liste CVE. Pour commencer, clonez ce référentiel : git clone [email protected]:CVEProject/cvelistV5.git . Une fois cloné, git pull à tout moment dont vous avez besoin pour obtenir les dernières mises à jour, comme n'importe quel autre référentiel GitHub.

Sorties

Ce référentiel comprend les versions de tous les enregistrements CVE actuels générés à partir de l'API officielle des services CVE. Toutes les heures sont indiquées en temps universel coordonné (UTC). Chaque version contient une description des CVE ajoutées ou mises à jour depuis la dernière version, ainsi qu'une section Actifs contenant les téléchargements. Notez que les fichiers zip sont assez volumineux et que leur téléchargement prendra donc un certain temps.

  • Les téléchargements de base sont émis à la fin de chaque journée à minuit et publiés sous Actifs dans le format de nom de fichier suivant : Year-Month-Day_all_CVEs_at_midnight.zip , (par exemple, 2024-04-04_all_CVEs_at_midnight.zip ). Ce fichier reste inchangé pendant 24 heures. Si vous mettez à jour votre liste CVE à l'aide de fichiers zip quotidiennement (ou moins fréquemment), c'est la meilleure solution à utiliser.
  • Des mises à jour horaires sont également fournies sous Actifs en utilisant le format de nom de fichier : Year-Month-Day _delta_CVEs_at_Hour 00Z.zip , (par exemple, 2024-04-04_delta_CVEs_at_0100Z.zip ). Ceci est utile si vous avez besoin que votre liste CVE soit précise toutes les heures. Sachez que ce fichier ne contient que les deltas depuis le fichier zip de base.

Problèmes connus avec le référentiel cvelistV5

Le programme CVE est actuellement conscient des problèmes suivants concernant les téléchargements de la liste CVE. Ces problèmes sont actuellement traités par le groupe de travail sur l'automatisation du CVE (AWG). Les mises à jour ou les résolutions seront notées ici lorsqu’elles seront disponibles.

  1. Mise à jour le 17/09/2024 : certains enregistrements CVE publiés avant 2023 avaient une date de publication, de réservation et de mise à jour incorrecte. Depuis le 17/09/2024, cela a été corrigé.

  2. Ajouté le 17/09/2024 : des écarts dans les dates de publication et de mise à jour existent pour les enregistrements CVE publiés par le MITRE CNA-LR entre le 8 mai 2024 et le 7 juin 2024 (affectant environ 515 enregistrements).
    Les utilisateurs de ce référentiel pour les métriques CVE (et autres analyses sensibles aux données de publication/mise à jour) doivent être conscients de ce problème. Un correctif sera à venir.

Problèmes de signalement

Veuillez utiliser l'un des éléments suivants :

  • Signaler les problèmes de référentiel et de téléchargement de fichiers (via le référentiel cvelistV5 Issue Tracker sur GitHub)
  • Signaler des problèmes avec le contenu d'un enregistrement CVE (via les formulaires Web de demande de programme CVE)

Demandes de tirage non autorisées

Ce référentiel contient les enregistrements CVE publiés par les partenaires du programme CVE. Il n’accepte pas les demandes d’extraction.

Clonage de ce référentiel

Vous pouvez cloner le référentiel en utilisant git clone. Cependant, les pull request ne seront pas acceptées.

Aide

Veuillez utiliser les formulaires Web de demande CVE et sélectionner « Autre » dans la liste déroulante.

Développer
Informations supplémentaires
Applications connexes
Recommandé pour vous
Actualités connexes Tout
Commentaires des utilisateurs