หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด

หมายเหตุ 17-09-2024 การแก้ไขบันทึกประวัติของที่เก็บ CVE: บันทึก CVE ที่เผยแพร่ครั้งแรกก่อนปี 2023 โดยมีวันที่จอง/เผยแพร่/อัปเดตไม่ถูกต้องได้รับการแก้ไขแล้ว การดำเนินการนี้แก้ไขบันทึกประมาณ 27,000 รายการที่ได้รับการกำหนดวันที่จอง เผยแพร่ หรืออัปเดตไม่ถูกต้อง โดยเป็นส่วนหนึ่งของการนำบันทึก JSON 5.0 CVE มาใช้

หมายเหตุ 31-07-2024 CVE ปัจจุบันอาจมีคอนเทนเนอร์ใหม่ที่เรียกว่า คอนเทนเนอร์โปรแกรม CVE : คอนเทนเนอร์ใหม่นี้ให้ข้อมูลเพิ่มเติมที่เพิ่มโดยโปรแกรม CVE เพื่อรวมการอ้างอิงที่เพิ่มโปรแกรม ผู้ใช้พื้นที่เก็บข้อมูลนี้อาจต้องประมวลผลสองคอนเทนเนอร์ ดูด้านล่างสำหรับข้อมูลเพิ่มเติม

หมายเหตุ 08-08-2024 17:30 น. : บริการ CVE REST ได้รับการอัปเดตเป็น CVE Record Format Schema 5.1 ในวันที่ 08-05-2024 เวลา 17:30 น. EDT ด้วยการอัปเดตนี้ CVE Record ในพื้นที่เก็บข้อมูลนี้อาจเป็นระเบียนที่จัดรูปแบบ 5.0 หรือ 5.1 รูปแบบจะแสดงในช่อง "dataversion" ผู้ใช้พื้นที่เก็บข้อมูลนี้ที่ "ตรวจสอบ" ระเบียน CVE ควรตรวจสอบความถูกต้องของระเบียนโดยใช้เวอร์ชันที่เหมาะสมของสคีมา (เช่น 5.0 หรือ 5.1) ตามที่ปรากฏในฟิลด์นี้ ผู้ใช้ไม่ควรพิจารณาว่าจะใช้สคีมาใดโดยอิงตามวันที่ปรับใช้ของรูปแบบใหม่ (เช่น 08-05-2024 เวลา 17:30 น. EDT) เนื่องจากค่าวันที่เผยแพร่/อัปเดตไม่สอดคล้องกัน

รายการ CVE V5

พื้นที่เก็บข้อมูลนี้เป็นรายการ CVE อย่างเป็นทางการ เป็นแค็ตตาล็อกของบันทึก CVE ทั้งหมดที่ระบุโดยหรือรายงานต่อโปรแกรม CVE

พื้นที่เก็บข้อมูลนี้โฮสต์ไฟล์ที่ดาวน์โหลดได้ของ CVE Records ในรูปแบบบันทึก CVE (ดูสคีมา) มีการอัปเดตเป็นประจำ (ประมาณทุกๆ 7 นาที) โดยใช้ CVE Services API อย่างเป็นทางการ คุณสามารถค้นหา ดาวน์โหลด และใช้เนื้อหาที่โฮสต์ในพื้นที่เก็บข้อมูลนี้ได้ ตามข้อกำหนดการใช้งานของโปรแกรม CVE

ไม่รองรับการดาวน์โหลดรูปแบบเดิมอีกต่อไป — รองรับรูปแบบการดาวน์โหลดเนื้อหา CVE แบบเดิมทั้งหมด (เช่น CSV, HTML, XML และ CVRF) สิ้นสุดในวันที่ 30 มิถุนายน 2024 รูปแบบการดาวน์โหลดแบบเดิมเหล่านี้จะไม่ได้รับการอัปเดตอีกต่อไปและจะถูกยุติลง ในช่วงหกเดือนแรกของปี 2024 ถูกแทนที่ด้วยพื้นที่เก็บข้อมูลนี้เป็นวิธีเดียวที่รองรับการดาวน์โหลด CVE Record เรียนรู้เพิ่มเติมที่นี่

คอนเทนเนอร์บันทึก CVE

ขณะนี้ CVE Records อาจประกอบด้วยหลายคอนเทนเนอร์:

  • คอนเทนเนอร์ CNA
  • คอนเทนเนอร์โปรแกรม CVE
  • คอนเทนเนอร์เฉพาะ ADP หลายตัวที่เป็นตัวเลือก

คอนเทนเนอร์โปรแกรม CVE

ข้อมูลอ้างอิงที่เพิ่มในโปรแกรม CVE ทั้งหมดหลังจากวันที่ 31/07/2024 สำหรับบันทึก CVE จะถูกจัดเก็บไว้ในคอนเทนเนอร์โปรแกรม CVE ของบันทึกนั้น ข้อมูลอ้างอิงที่ CNA มอบให้จะยังคงถูกจัดเก็บไว้ใน CNA Container

คอนเทนเนอร์โปรแกรม CVE ได้รับการปรับใช้ในรูปแบบคอนเทนเนอร์ ADP ในบันทึก CVE

ช่องบันทึก JSON/CVE เฉพาะที่จะอยู่ในคอนเทนเนอร์โปรแกรม CVE มีดังนี้:

  • adp: ฟิลด์หัวเรื่อง: " คอนเทนเนอร์โปรแกรม CVE "
  • adp:providerMetadata:shortName:" CVE "
  • adp:ช่องอ้างอิงตามที่อธิบายไว้ที่นี่

การอ้างอิงในคอนเทนเนอร์โปรแกรม CVE จะคงรูปแบบเดียวกับการอ้างอิงในคอนเทนเนอร์ CNA

คอนเทนเนอร์โปรแกรม CVE อาจมีการอ้างอิงที่มีแท็ก x_transfered ข้อมูลอ้างอิงที่มีแท็กนี้ถูกอ่านจากคอนเทนเนอร์ CNA เมื่อวันที่ 31/07/2024 นี่เป็นสำเนา "ครั้งเดียว" เพื่อรักษา "สถานะ" ของรายการอ้างอิง CNA ณ วันที่ 31/7/2024 การอ้างอิงที่เพิ่มโปรแกรม CVE หลังจากวันที่นี้จะไม่มีแท็ก *x_transfered"

ในกรณีของบันทึก CVE ใหม่ที่สร้างขึ้นหลังวันที่ 31/07/2024 หากไม่มีการเพิ่มข้อมูลที่ครบถ้วนจากโปรแกรม จะไม่มี CVE Porgram Container ที่เชื่อมโยงกับบันทึก CVE

ข้อควรพิจารณาในการดำเนินการ:

การประมวลผลคอนเทนเนอร์ที่จำเป็น: หลังจากวันที่ 31/07/2024 เพื่อดึงข้อมูลทั้งหมดเกี่ยวกับช่องโหว่ที่รายงานใน CVE Repositoyr ผู้จำหน่ายเครื่องมือและผู้ใช้ชุมชนจะต้องตรวจสอบ CVE Record CNA Container และ CVE Program Container (ถ้ามี) คอนเทนเนอร์ทั้งสองนี้จำเป็นขั้นต่ำเพื่อให้ได้ข้อมูลหลักที่โปรแกรมต้องการ คอนเทนเนอร์ ADP อื่นๆ ทั้งหมดยังคงเป็นทางเลือกจากมุมมองของโปรแกรม

ศักยภาพในการอ้างอิงที่ซ้ำกัน ความเป็นไปได้ของการอ้างอิงที่ซ้ำกันคือสิ่งประดิษฐ์ของการมีองค์กรมากกว่าหนึ่งองค์กรที่จัดให้มีการอ้างอิงในตำแหน่งที่แยกจากกัน ผู้ใช้ขั้นปลายจะต้องกำหนดวิธีที่เหมาะสมในการแก้ไขข้อมูลอ้างอิงที่อาจเกิดขึ้นระหว่างคอนเทนเนอร์ CNA และคอนเทนเนอร์โปรแกรม CVE

คอนเทนเนอร์ CISA-ADP

CISA-ADP Container เปิดตัวเมื่อวันที่ 4 มิถุนายน เพื่อให้ข้อมูลที่มีมูลค่าเพิ่มสำหรับ CVE Records นับจากนี้เป็นต้นไป และมีผลย้อนหลังจนถึงเดือนกุมภาพันธ์ 2024

CISA ADP จัดเตรียมองค์ประกอบ 3 ประการเพื่อเพิ่มคุณค่าให้กับ CVE Records:

  1. การจัดหมวดหมู่ช่องโหว่เฉพาะผู้มีส่วนได้ส่วนเสีย (SSVC)
  2. ข้อมูลแค็ตตาล็อกช่องโหว่ที่รู้จัก (KEV)
  3. การอัปเดต "ช่องโหว่" (เช่น ไม่มีข้อมูล CVSS, CWE, CPE สำหรับบันทึก CVE ที่ตรงตามลักษณะภัยคุกคามเฉพาะ และเมื่อ CNA ไม่ได้จัดเตรียมด้วยตนเอง)

อ้างอิงกระบวนการ CISA ADP หรือไซต์ CISA Vulnrichment github สำหรับคำอธิบายทั้งหมดเกี่ยวกับข้อมูลที่ให้มาและรูปแบบในการบันทึก

วิธีดาวน์โหลดรายการ CVE

มี 2 ​​วิธีหลักในการดาวน์โหลด CVE Records จากพื้นที่เก็บข้อมูลนี้:

  1. การใช้ไคลเอนต์ git — นี่เป็นวิธีที่เร็วที่สุดในการทำให้รายการ CVE อัปเดตอยู่เสมอโดยใช้เครื่องมือที่นักพัฒนาส่วนใหญ่คุ้นเคย สำหรับข้อมูลเพิ่มเติม โปรดดูส่วน git ด้านล่าง
  2. โดยใช้ไฟล์ zip เผยแพร่ สำหรับข้อมูลเพิ่มเติม โปรดดูส่วนการเผยแพร่ด้านล่าง

คอมไพล์

การใช้เครื่องมือบรรทัดคำสั่ง git หรือไคลเอนต์ git UI เป็นวิธีที่ง่ายที่สุดในการติดตามรายการ CVE ในการเริ่มต้น ให้โคลนพื้นที่เก็บข้อมูลนี้: git clone [email protected]:CVEProject/cvelistV5.git เมื่อโคลนแล้ว git pull เมื่อใดก็ตามที่คุณต้องการรับการอัปเดตล่าสุด เช่นเดียวกับพื้นที่เก็บข้อมูล GitHub อื่นๆ

ข่าวประชาสัมพันธ์

พื้นที่เก็บข้อมูลนี้มีเวอร์ชันเผยแพร่ของ CVE Records ปัจจุบันทั้งหมดที่สร้างจาก CVE Services API อย่างเป็นทางการ เวลาทั้งหมดแสดงอยู่ในเวลาสากลเชิงพิกัด (UTC) แต่ละรุ่นประกอบด้วยคำอธิบายของ CVE ที่เพิ่มหรืออัปเดตตั้งแต่รุ่นล่าสุด และส่วนเนื้อหาที่มีการดาวน์โหลด โปรดทราบว่าไฟล์ zip มีขนาดค่อนข้างใหญ่ จึงต้องใช้เวลาในการดาวน์โหลดพอสมควร

  • การดาวน์โหลดพื้นฐานจะออกในตอนท้ายของแต่ละวันเวลาเที่ยงคืน และโพสต์ภายใต้เนื้อหาในรูปแบบชื่อไฟล์ต่อไปนี้: Year-Month-Day_all_CVEs_at_midnight.zip (เช่น 2024-04-04_all_CVEs_at_midnight.zip ) ไฟล์นี้จะไม่เปลี่ยนแปลงเป็นเวลา 24 ชั่วโมง หากคุณกำลังอัปเดตรายการ CVE ของคุณโดยใช้ไฟล์ zip ทุกวัน (หรือน้อยกว่านั้น) นี่เป็นไฟล์ที่ดีที่สุดที่จะใช้
  • นอกจากนี้ ยังมีการอัปเดตรายชั่วโมงภายใต้เนื้อหาโดยใช้รูปแบบชื่อไฟล์: Year-Month-Day _delta_CVEs_at_Hour 00Z.zip (เช่น 2024-04-04_delta_CVEs_at_0100Z.zip ) สิ่งนี้มีประโยชน์หากคุณต้องการให้รายการ CVE ของคุณถูกต้องทุกชั่วโมง โปรดทราบว่าไฟล์นี้มีเฉพาะเดลต้าตั้งแต่ไฟล์ zip พื้นฐาน

ปัญหาที่ทราบเกี่ยวกับที่เก็บ cvelistV5

ขณะนี้โปรแกรม CVE ทราบถึงปัญหาต่อไปนี้เกี่ยวกับการดาวน์โหลดรายการ CVE ปัญหาเหล่านี้กำลังได้รับการแก้ไขโดย CVE Automation Working Group (AWG) การอัปเดตหรือวิธีแก้ปัญหาจะถูกบันทึกไว้ที่นี่เมื่อพร้อมใช้งาน

  1. อัปเดตเมื่อวันที่ 17 กันยายน 2567: บันทึก CVE บางส่วนที่เผยแพร่ก่อนปี 2023 มีวันที่เผยแพร่ สงวนไว้ และอัปเดตไม่ถูกต้อง ณ วันที่ 17/9/2024 สิ่งนี้ได้รับการแก้ไขแล้ว

  2. เพิ่มวันที่ 17/09/2024: มีความคลาดเคลื่อนของวันที่เผยแพร่และอัปเดตสำหรับ CVE recrods ที่เผยแพร่โดย MITER CNA-LR ระหว่างวันที่ 8 พฤษภาคม 2024 ถึง 7 มิถุนายน 2024 (ส่งผลกระทบต่อบันทึกประมาณ 515 รายการ)
    ผู้ใช้พื้นที่เก็บข้อมูลนี้สำหรับตัววัด CVE (และการวิเคราะห์ที่ละเอียดอ่อนของข้อมูลสิ่งพิมพ์/udpate อื่น ๆ) ควรตระหนักถึงปัญหานี้ การแก้ไขจะเกิดขึ้น

การรายงานปัญหา

โปรดใช้อย่างใดอย่างหนึ่งต่อไปนี้:

  • รายงานปัญหาพื้นที่เก็บข้อมูลและไฟล์ดาวน์โหลดไฟล์ (ผ่านตัวติดตามปัญหาพื้นที่เก็บข้อมูล cvelistV5 บน GitHub)
  • รายงานปัญหาเกี่ยวกับเนื้อหาของบันทึก CVE (ผ่านแบบฟอร์มเว็บคำขอโปรแกรม CVE)

ไม่อนุญาตให้ดึงคำขอ

พื้นที่เก็บข้อมูลนี้มีบันทึก CVE ที่เผยแพร่โดยพันธมิตรโปรแกรม CVE มันไม่ยอมรับคำขอดึง

กำลังโคลนพื้นที่เก็บข้อมูลนี้

คุณสามารถโคลนพื้นที่เก็บข้อมูลโดยใช้ git clone อย่างไรก็ตาม คำขอดึงจะไม่ได้รับการยอมรับ

ช่วย

โปรดใช้แบบฟอร์มเว็บคำขอ CVE และเลือก “อื่นๆ” จากเมนูแบบเลื่อนลง

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด
ความคิดเห็นจากผู้ใช้