꽃집V5
CE
참고 2024-09-17 CVE 저장소 내역 기록 수정: 원래 2023년 이전에 게시된 잘못된 예약/게시/업데이트 날짜가 있는 CVE 레코드가 수정되었습니다. 이 작업으로 JSON 5.0 CVE 레코드 채택의 일환으로 잘못된 예약, 게시 또는 업데이트 날짜가 할당된 약 27,000개의 레코드가 수정되었습니다.
참고 2024-07-31 CVE 레코드에는 이제 CVE 프로그램 컨테이너 라는 새 컨테이너가 포함될 수 있습니다 . 이 새 컨테이너는 프로그램 추가 참조를 포함하기 위해 CVE 프로그램에서 추가한 추가 정보를 제공합니다. 이 저장소의 사용자는 두 개의 컨테이너를 처리해야 할 수도 있습니다. 자세한 내용은 아래를 참조하세요.
참고 2024-05-08 오후 5:30 : CVE REST 서비스는 2024-05-08 오후 5:30 EDT에 CVE 레코드 형식 스키마 5.1로 업데이트되었습니다. 이번 업데이트를 통해 이 저장소의 CVE 레코드는 이제 5.0 또는 5.1 형식의 레코드가 될 수 있습니다. 형식은 "dataversion" 필드에 반영됩니다. CVE 레코드를 "검증"하는 이 저장소 사용자는 이 필드에 반영된 적절한 버전의 스키마(예: 5.0 또는 5.1)를 사용하여 레코드의 유효성을 검사하는 것이 좋습니다. 게시/업데이트된 날짜 값에 불일치가 있으므로 사용자는 새로운 형식의 배포 날짜(예: 2024-05-08 오후 5시 30분 EDT)를 기반으로 사용할 스키마를 결정해서는 안 됩니다.
이 저장소는 공식 CVE 목록입니다. 이는 CVE 프로그램에 의해 식별되거나 보고된 모든 CVE 기록의 카탈로그입니다.
이 저장소는 CVE 레코드 형식의 다운로드 가능한 CVE 레코드 파일을 호스팅합니다(스키마 보기). 공식 CVE 서비스 API를 사용하여 정기적으로(약 7분마다) 업데이트됩니다. CVE 프로그램 이용 약관에 따라 이 저장소에 호스팅된 콘텐츠를 검색, 다운로드 및 사용할 수 있습니다.
레거시 형식 다운로드가 더 이상 지원되지 않음 - 레거시 CVE 콘텐츠 다운로드 형식(예: CSV, HTML, XML 및 CVRF)에 대한 모든 지원은 2024년 6월 30일에 종료되었습니다. 이러한 레거시 다운로드 형식은 더 이상 업데이트되지 않으며 단계적으로 중단되었습니다. 2024년 첫 6개월 동안 CVE 레코드 다운로드에 지원되는 유일한 방법으로 이 저장소로 대체되었습니다. 여기에서 자세히 알아보세요.
CVE 레코드는 이제 여러 컨테이너로 구성될 수 있습니다.
CVE 기록에 대해 2024년 7월 31일 이후에 추가된 모든 CVE 프로그램 참조는 해당 기록의 CVE 프로그램 컨테이너에 저장됩니다. CNA 제공 참조는 CNA 컨테이너에 계속 저장됩니다.
CVE 프로그램 컨테이너는 CVE 레코드에서 ADP 컨테이너 형식으로 구현됩니다.
CVE 프로그램 컨테이너에 포함될 특정 JSON/CVE 레코드 필드는 다음과 같습니다.
CVE 프로그램 컨테이너의 참조는 CNA 컨테이너의 참조와 동일한 형식을 유지합니다.
CVE 프로그램 컨테이너에는 x_transferred 태그가 있는 참조가 포함될 수 있습니다. 이 태그가 포함된 참조는 2024년 7월 31일에 CNA 컨테이너에서 읽혀졌습니다. 이는 2024년 7월 31일 현재 CNA 참조 목록의 "상태"를 유지하기 위한 "일회성" 사본입니다. 이 날짜 이후에 CVE 프로그램에 추가된 참조에는 *x_transfered" 태그가 없습니다.
2024년 7월 31일 이후에 생성된 새 CVE 레코드의 경우, 프로그램에서 제공하는 보강 데이터가 추가되지 않으면 CVE 레코드와 연결된 CVE 포그램 컨테이너가 없습니다.
필수 컨테이너 처리: 2024년 7월 31일 이후 CVE 저장소에 보고된 취약점에 대한 모든 정보를 검색하려면 도구 공급업체와 커뮤니티 사용자는 CVE 레코드 CNA 컨테이너 및 CVE 프로그램 컨테이너(존재하는 경우)를 검사해야 합니다. 이 두 컨테이너는 프로그램에서 요구하는 핵심 정보를 얻는 데 최소한으로 필요합니다. 다른 모든 ADP 컨테이너는 프로그램 관점에서 선택 사항으로 유지됩니다.
중복 참고 문헌의 가능성 참고 자료 중복 가능성은 별도의 위치에 참고 자료를 제공하는 두 개 이상의 조직이 있기 때문에 발생하는 인공물입니다. 다운스트림 사용자는 CNA 컨테이너와 CVE 프로그램 컨테이너 간의 잠재적인 참조 중복을 해결하는 적절한 방법을 결정해야 합니다.
CISA-ADP 컨테이너는 향후 CVE 레코드에 대한 부가 가치 정보를 제공하고 소급하여 2024년 2월까지 제공하기 위해 6월 4일에 출시되었습니다.
CISA ADP는 CVE 기록을 강화하기 위한 세 가지 구성 요소를 제공합니다.
제공되는 정보와 기록되는 형식에 대한 자세한 설명은 CISA ADP 프로세스 또는 CISA Vulnrichment github 사이트를 참조하세요.
이 저장소에서 CVE 레코드를 다운로드하는 두 가지 주요 방법은 다음과 같습니다.
git 클라이언트 사용 - 이는 대부분의 개발자에게 익숙한 도구를 사용하여 CVE 목록을 최신 상태로 유지하는 가장 빠른 방법입니다. 자세한 내용은 아래 git 섹션을 참조하세요. git 명령줄 도구나 git UI 클라이언트를 사용하는 것이 CVE 목록을 최신 상태로 유지하는 가장 쉬운 방법입니다. 시작하려면 다음 저장소를 복제하세요: git clone [email protected]:CVEProject/cvelistV5.git . 복제한 후에는 다른 GitHub 저장소와 마찬가지로 언제든지 최신 업데이트를 받아야 할 때마다 git pull .
이 저장소에는 공식 CVE 서비스 API에서 생성된 모든 최신 CVE 레코드의 릴리스 버전이 포함되어 있습니다. 모든 시간은 협정 세계시(UTC)로 표시됩니다. 각 릴리스에는 마지막 릴리스 이후 추가되거나 업데이트된 CVE에 대한 설명과 다운로드가 포함된 자산 섹션이 포함되어 있습니다. zip 파일은 용량이 꽤 커서 다운로드하는 데 시간이 좀 걸릴 수 있다는 점에 유의하세요.
Year-Month-Day_all_CVEs_at_midnight.zip (예: 2024-04-04_all_CVEs_at_midnight.zip ). 이 파일은 24시간 동안 변경되지 않은 상태로 유지됩니다. 매일(또는 덜 자주) zip 파일을 사용하여 CVE 목록을 업데이트하는 경우 이 방법을 사용하는 것이 가장 좋습니다.Year-Month-Day _delta_CVEs_at_Hour 00Z.zip (예: 2024-04-04_delta_CVEs_at_0100Z.zip )을 사용하여 자산 아래에 제공됩니다. 이는 CVE 목록이 시간별로 정확해야 하는 경우에 유용합니다. 이 파일에는 기본 zip 파일 이후의 델타만 포함되어 있습니다. CVE 프로그램은 현재 CVE 목록 다운로드와 관련하여 다음과 같은 문제를 알고 있습니다. 이러한 문제는 현재 CVE 자동화 작업 그룹(AWG)에서 해결되고 있습니다. 업데이트나 해결 방법이 제공되면 여기에 기록됩니다.
2024년 9월 17일 업데이트: 2023년 이전에 게시된 일부 CVE 레코드에는 게시, 예약 및 업데이트 날짜가 잘못되었습니다. 2024년 9월 17일 현재 이 내용이 수정되었습니다.
2024년 9월 17일 추가됨: 2024년 5월 8일부터 2024년 6월 7일 사이에 MITRE CNA-LR에서 게시한 CVE 기록에 게시 및 업데이트 날짜 불일치가 존재합니다(약 515개의 기록에 영향을 미침).
CVE 지표(및 기타 게시/업데이트 데이터 민감한 분석)를 위한 이 저장소 사용자는 이 문제를 알고 있어야 합니다. 곧 수정될 예정입니다.
다음 중 하나를 사용하십시오.
이 저장소에는 CVE 프로그램 파트너가 게시한 CVE 레코드가 포함되어 있습니다. 풀 요청을 수락하지 않습니다.
git clone을 사용하여 저장소를 복제할 수 있습니다. 단, Pull Request는 받지 않습니다.
CVE 요청 웹 양식을 사용하고 드롭다운에서 "기타"를 선택하세요.
