флористV5

Примечание. 17.09.2024 Исправление исторических записей репозитория CVE: записи CVE, первоначально опубликованные до 2023 года с неправильными датами зарезервирования/опубликации/обновления, были исправлены. Это действие исправило около 27 000 записей, которым были назначены неправильные даты зарезервирования, публикации или обновления в рамках внедрения записи JSON 5.0 CVE.

Примечание. 31 июля 2024 г. записи CVE теперь могут содержать новый контейнер, называемый контейнером программы CVE . Этот новый контейнер предоставляет дополнительную информацию, добавленную программой CVE, включая ссылки, добавленные программой. Пользователям этого репозитория может потребоваться обработка двух контейнеров. Дополнительную информацию см. ниже.

Примечание 8 мая 2024 г., 17:30 : Службы CVE REST были обновлены до схемы формата записи CVE 5.1 ​​08 мая 2024 г. в 17:30 по восточному времени. Благодаря этому обновлению запись CVE в этом репозитории теперь может быть записью в формате 5.0 или 5.1. Формат отображается в поле «версия данных». Пользователям этого репозитория, которые «проверяют» записи CVE, рекомендуется проверять записи, используя соответствующую версию схемы (т. е. 5.0 или 5.1), как указано в этом поле. Пользователи не должны определять, какую схему использовать, на основе даты развертывания нового формата (т. е. 08.05.2024, 17:30 по восточному времени), поскольку существуют несоответствия в опубликованных/обновленных значениях дат.

Этот репозиторий является официальным списком CVE. Это каталог всех записей CVE, идентифицированных программой CVE или переданных в нее.

В этом репозитории хранятся загружаемые файлы записей CVE в формате записей CVE (см. схему). Они регулярно обновляются (примерно каждые 7 минут) с использованием официального API служб CVE. Вы можете искать, загружать и использовать контент, размещенный в этом репозитории, в соответствии с Условиями использования программы CVE.

Загрузка устаревших форматов больше не поддерживается . Вся поддержка устаревших форматов загрузки контента CVE (например, CSV, HTML, XML и CVRF) прекращена 30 июня 2024 г. Эти устаревшие форматы загрузки больше не будут обновляться и были прекращены. в течение первых шести месяцев 2024 года были заменены этим репозиторием как единственным поддерживаемым методом загрузки записей CVE. Узнайте больше здесь.

Записи CVE теперь могут состоять из нескольких контейнеров:

• Контейнер CNA
• Программный контейнер CVE
• Дополнительные несколько контейнеров, специфичных для ADP

Все ссылки, добавленные программой CVE после 31 июля 2024 г. для записи CVE, будут храниться в программном контейнере CVE этой записи. Ссылки, предоставленные CNA, будут продолжать храниться в контейнере CNA.

Программный контейнер CVE реализован в формате контейнера ADP в записи CVE.

Конкретные поля записи JSON/CVE, которые будут находиться в контейнере программы CVE, следующие:

• adp:title field: « Контейнер программы CVE »
• adp:providerMetadata:shortName:" CVE "
• поле adp:references, как описано здесь

Ссылки в программном контейнере CVE поддерживают тот же формат, что и ссылки в контейнере CNA.

Контейнер программы CVE может содержать ссылки с тегом x_transferred . Ссылки с этим тегом были прочитаны из контейнера CNA 31.07.2024. Это «однократная» копия для поддержания «состояния» справочного списка CNA по состоянию на 31 июля 2024 г. Ссылки, добавленные программой CVE после этой даты, не будут иметь тега *x_transfered».

В случае новых записей CVE, созданных после 31 июля 2024 г., если расширенные данные, предоставленные Программой, не добавляются, с Записью CVE не будет связан Контейнер программы CVE.

Обработка необходимых контейнеров: после 31 июля 2024 г. для получения всей информации об обнаруженной уязвимости в репозитории CVE поставщикам инструментов и пользователям сообщества необходимо будет изучить контейнер записи CNA CVE и контейнер программы CVE (если таковой существует). Эти два контейнера минимально необходимы для получения основной информации, необходимой для Программы. Все остальные контейнеры ADP остаются необязательными с точки зрения Программы.

Возможность дублирования ссылок. Возможность дублирования ссылок является следствием наличия более чем одной организации, предоставляющей ссылки в разных местах. Последующие пользователи должны будут определить подходящий способ устранения потенциальных дублирований ссылок между контейнером CNA и программным контейнером CVE.

Контейнер CISA-ADP был запущен 4 июня для предоставления дополнительной информации для CVE Records в будущем и задним числом до февраля 2024 года.

CISA ADP предоставляет три компонента для обогащения CVE Records:

1. Категоризация уязвимостей для конкретных заинтересованных сторон (SSVC)
2. Данные каталога известных уязвимостей, пригодных для использования (KEV)
3. Обновления «уязвимости» (например, отсутствие информации CVSS, CWE, CPE для записей CVE, которые соответствуют конкретным характеристикам угроз, а также для случаев, когда CNA не предоставляют ее сами)

Обратитесь к процессу CISA ADP или сайту CISA Vulnrichment на GitHub для получения полного описания того, какая информация предоставляется и в каком формате она записывается.

Существует 2 основных способа загрузки записей CVE из этого репозитория:

1. использование клиентов git — это самый быстрый способ поддерживать актуальность списка CVE с помощью инструментов, знакомых большинству разработчиков. Дополнительную информацию см. в разделе git ниже.
2. используя zip-файлы Releases. Дополнительную информацию см. в разделе «Релизы» ниже.

Использование инструмента командной строки git или любого клиента git UI — это самый простой способ оставаться в курсе списка CVE. Для начала клонируйте этот репозиторий: git clone [email protected]:CVEProject/cvelistV5.git . После клонирования вы можете в любой момент получить последние обновления git pull , как и в любом другом репозитории GitHub.

Этот репозиторий включает версии всех текущих записей CVE, созданных с помощью официального API служб CVE. Все время указано в формате всемирного координированного времени (UTC). Каждый выпуск содержит описание CVE, добавленных или обновленных с момента последнего выпуска, а также раздел «Ресурсы», содержащий загрузки. Обратите внимание, что zip-файлы довольно большие, поэтому их загрузка займет некоторое время.

• Базовые загрузки выпускаются в конце каждого дня в полночь и публикуются в разделе «Активы» в следующем формате имени файла: Year-Month-Day_all_CVEs_at_midnight.zip (например, 2024-04-04_all_CVEs_at_midnight.zip ). Этот файл остается неизменным в течение 24 часов. Если вы обновляете свой список CVE с помощью zip-файлов ежедневно (или реже), этот вариант лучше всего использовать.
• Ежечасные обновления также предоставляются в разделе «Активы» с использованием формата имени файла: Year-Month-Day _delta_CVEs_at_Hour 00Z.zip (например, 2024-04-04_delta_CVEs_at_0100Z.zip ). Это полезно, если вам нужно, чтобы ваш список CVE был точным ежечасно. Имейте в виду, что этот файл содержит только отклонения от базового zip-файла.

Программе CVE в настоящее время известно о следующих проблемах, связанных с загрузкой списков CVE. Этими проблемами в настоящее время занимается Рабочая группа по автоматизации CVE (AWG). Обновления или решения будут отмечены здесь, когда они будут доступны.

1. Обновлено 17 сентября 2024 г.: некоторые записи CVE, опубликованные до 2023 г., имели неверную дату публикации, зарезервированы и обновлены. По состоянию на 17.09.2024 это исправлено.

2. Добавлено 17 сентября 2024 г.: существуют расхождения в датах публикации и обновления записей CVE, опубликованных MITRE CNA-LR в период с 8 мая 2024 г. по 7 июня 2024 г. (затрагивает примерно 515 записей).
   Пользователи этого репозитория метрик CVE (и других анализов, чувствительных к публикациям/обновлениям данных) должны знать об этой проблеме. Исправление будет в ближайшее время.

Пожалуйста, используйте один из следующих вариантов:

• Сообщайте о проблемах с репозиторием и загружайте файлы (через систему отслеживания проблем репозитория cvelistV5 на GitHub)
• Сообщайте о проблемах с содержимым записи CVE (через веб-формы запроса программы CVE).

Этот репозиторий содержит записи CVE, опубликованные партнерами программы CVE. Он не принимает запросы на включение.

Вы можете клонировать репозиторий с помощью git clone. Однако запросы на включение не будут приняты.

Используйте веб-форму запроса CVE и выберите «Другое» в раскрывающемся списке.