floristaV5
CE
Nota 2024-09-17 Correção de registro histórico do repositório CVE: Os registros CVE originalmente publicados antes de 2023 com datas reservadas/publicadas/atualizadas incorretas foram corrigidos. Esta ação corrigiu aproximadamente 27.000 registros aos quais foram atribuídas datas incorretas de reserva, publicação ou atualização como parte da adoção do registro JSON 5.0 CVE.
Nota 2024-07-31 Os Registros CVE agora podem conter um novo contêiner chamado Contêiner do Programa CVE : Este novo contêiner fornece informações adicionais adicionadas pelo Programa CVE para incluir referências adicionadas ao Programa. Os usuários deste repositório podem precisar processar dois contêineres. Veja abaixo para mais informações.
Observação 08/05/2024 17h30 : Os serviços REST CVE foram atualizados para o esquema de formato de registro CVE 5.1 em 08/05/2024 às 17h30 EDT. Com esta atualização, um registro CVE neste repositório agora pode ser um registro formatado 5.0 ou 5.1. O formato é refletido no campo "dataversion". Os usuários deste repositório que "validam" registros CVE são aconselhados a validar os registros usando a versão apropriada do esquema (ou seja, 5.0 ou 5.1) conforme refletido neste campo. Os usuários não devem determinar qual esquema usar com base na data de implantação do novo formato (ou seja, 08/05/2024 às 17h30 EDT), pois há inconsistências nos valores de data publicada/atualizada.
Este repositório é a lista CVE oficial. É um catálogo de todos os Registros CVE identificados ou reportados ao Programa CVE.
Este repositório hospeda arquivos para download de registros CVE no formato de registro CVE (veja o esquema). Eles são atualizados regularmente (a cada 7 minutos) usando a API oficial dos serviços CVE. Você pode pesquisar, baixar e usar o conteúdo hospedado neste repositório, de acordo com os Termos de Uso do Programa CVE.
Downloads de formatos legados não são mais suportados —Todo o suporte para formatos de download de conteúdo CVE legados (ou seja, CSV, HTML, XML e CVRF) terminou em 30 de junho de 2024. Esses formatos de download legados, que não serão mais atualizados e foram descontinuados durante os primeiros seis meses de 2024, foram substituídos por este repositório como o único método suportado para downloads de registros CVE. Saiba mais aqui.
Os registros CVE agora podem consistir em vários contêineres:
Todas as referências adicionadas ao Programa CVE após 31/07/2024 para um Registro CVE serão armazenadas no Contêiner do Programa CVE desse Registro. As referências fornecidas pelo CNA continuarão a ser armazenadas no contêiner CNA.
O Contêiner do Programa CVE é implementado em um formato de contêiner ADP no Registro CVE.
Os campos específicos do registro JSON/CVE que estarão no contêiner do programa CVE são os seguintes:
As referências no Contêiner do Programa CVE mantêm o mesmo formato das referências em um Contêiner CNA.
O contêiner do Programa CVE pode conter referências que possuem a tag x_transferred . As referências com esta tag foram lidas no contêiner CNA em 31/07/2024. Esta é uma cópia “única” para manter o “estado” da lista de referência CNA em 31/07/2024. As referências adicionadas ao Programa CVE após esta data não terão a tag *x_transfered".
No caso de novos registros CVE criados após 31/07/2024, se nenhum dado enriquecido fornecido pelo Programa for adicionado, não haverá Contêiner de Porgrama CVE associado ao Registro CVE.
Processamento de contêineres necessário: após 31/07/2024, para recuperar todas as informações sobre uma vulnerabilidade relatada no Repositório CVE, os fornecedores de ferramentas e usuários da comunidade precisarão examinar o contêiner CNA do registro CVE e o contêiner do programa CVE (se existir). Esses dois contêineres são minimamente necessários para obter as informações essenciais exigidas pelo Programa. Todos os outros contêineres ADP permanecem opcionais do ponto de vista do Programa.
Potencial para referências duplicadas A possibilidade de duplicações de referências é um artefato de ter mais de uma organização fornecendo referências em locais separados. Os utilizadores a jusante terão de determinar a forma adequada de resolver potenciais duplicações de referência entre o contentor CNA e o contentor do programa CVE.
O contêiner CISA-ADP foi lançado em 4 de junho para fornecer informações de valor agregado para registros CVE daqui para frente e retroativamente a fevereiro de 2024.
O CISA ADP fornece três componentes para enriquecer os registros CVE:
Consulte o processo CISA ADP ou o site github CISA Vulnrichment para obter uma descrição completa de quais informações são fornecidas e o formato em que são registradas.
Existem 2 maneiras principais de baixar registros CVE deste repositório:
git — esta é a maneira mais rápida de manter a lista CVE atualizada usando ferramentas com as quais a maioria dos desenvolvedores está familiarizada. Para obter mais informações, consulte a seção git , abaixo Usar a ferramenta de linha de comando git ou qualquer cliente de UI git é a maneira mais fácil de se manter atualizado com a lista CVE. Para começar, clone este repositório: git clone [email protected]:CVEProject/cvelistV5.git . Depois de clonado, git pull a qualquer momento que precisar para obter as atualizações mais recentes, como qualquer outro repositório GitHub.
Este repositório inclui versões de lançamento de todos os registros CVE atuais gerados a partir da API oficial de serviços CVE. Todos os horários estão listados no Tempo Universal Coordenado (UTC). Cada versão contém uma descrição dos CVEs adicionados ou atualizados desde a última versão e uma seção de Ativos contendo os downloads. Observe que os arquivos zip são muito grandes e, portanto, levará algum tempo para serem baixados.
Year-Month-Day_all_CVEs_at_midnight.zip , (por exemplo, 2024-04-04_all_CVEs_at_midnight.zip ). Este arquivo permanece inalterado por 24 horas. Se você estiver atualizando sua lista CVE usando arquivos zip diariamente (ou com menos frequência), este é o melhor para usar.Year-Month-Day _delta_CVEs_at_Hour 00Z.zip , (por exemplo, 2024-04-04_delta_CVEs_at_0100Z.zip ). Isso é útil se você precisar que sua lista CVE seja precisa de hora em hora. Esteja ciente de que este arquivo contém apenas os deltas desde o arquivo zip de linha de base. O Programa CVE está atualmente ciente dos seguintes problemas em relação aos downloads da Lista CVE. Estas questões estão atualmente sendo abordadas pelo Grupo de Trabalho de Automação CVE (AWG). Atualizações ou resoluções serão anotadas aqui quando disponíveis.
Atualizado em 17/09/2024: Alguns registros CVE publicados antes de 2023 tinham publicação, reserva e data de atualização incorretas. Em 17/09/2024 isso foi corrigido.
Adicionado em 17/09/2024: Existem discrepâncias nas datas de publicação e atualização para recrods CVE publicados pelo MITRE CNA-LR entre 8 de maio de 2024 e 7 de junho de 2024 (afetando aproximadamente 515 registros).
Os usuários deste repositório para métricas CVE (e outras análises sensíveis a dados de publicação/atualização) devem estar cientes deste problema. Uma correção estará disponível.
Por favor, use um dos seguintes:
Este repositório contém registros CVE publicados por parceiros do programa CVE. Não aceita solicitações pull.
Você pode clonar o repositório usando git clone. No entanto, solicitações pull não serão aceitas.
Use os formulários da Web de solicitação de CVE e selecione “Outro” no menu suspenso.
