花店V5

注意 2024-09-17 CVE 存储库历史记录更正：最初在 2023 年之前发布的保留/发布/更新日期不正确的 CVE 记录已得到更正。作为 JSON 5.0 CVE 记录采用的一部分，此操作纠正了大约 27,000 条被分配了错误保留、发布或更新日期的记录。

注意 2024-07-31 CVE 记录现在可能包含一个名为CVE 程序容器的新容器：此新容器提供由 CVE 程序添加的附加信息，以包括程序添加的引用。该存储库的用户可能需要处理两个容器。请参阅下文了解更多信息。

注意 2024 年 5 月 8 日下午 5:30 ：CVE REST 服务已于 2024 年 5 月 8 日下午 5:30（美国东部时间）更新为 CVE 记录格式架构 5.1。通过此更新，此存储库中的 CVE 记录现在可以是 5.0 或 5.1 格式的记录。格式反映在“dataversion”字段中。建议“验证”CVE 记录的此存储库的用户使用此字段中反映的适当版本的架构（即 5.0 或 5.1）来验证记录。用户不应根据新格式的部署日期（即 2024 年 5 月 8 日下午 5:30 EDT）确定使用哪个架构，因为发布/更新的日期值存在不一致。

该存储库是官方 CVE 列表。它是由 CVE 计划识别或报告给 CVE 计划的所有 CVE 记录的目录。

此存储库托管 CVE 记录格式的 CVE 记录的可下载文件（查看架构）。它们使用官方 CVE 服务 API 定期更新（大约每 7 分钟）。您可以根据 CVE 计划使用条款搜索、下载和使用此存储库中托管的内容。

不再支持旧格式下载- 对旧 CVE 内容下载格式（即 CSV、HTML、XML 和 CVRF）的所有支持已于 2024 年 6 月 30 日结束。这些旧下载格式将不再更新并被逐步淘汰在 2024 年前六个月，已被此存储库取代，成为唯一受支持的 CVE 记录下载方法。在这里了解更多。

CVE 记录现在可能包含多个容器：

• 一个 CNA 容器
• CVE 程序容器
• 可选的多个 ADP 特定容器

2024 年 7 月 31 日之后为 CVE 记录添加的所有 CVE 程序引用都将存储在该记录的 CVE 程序容器中。 CNA 提供的参考将继续存储在 CNA 容器中。

CVE 程序容器在 CVE 记录中以 ADP 容器格式实现。

CVE 程序容器中的特定 JSON/CVE 记录字段如下：

• adp:标题字段：“ CVE 程序容器”
• adp:providerMetadata:shortName:" CVE "
• adp:references 字段，如此处所述

CVE 程序容器中的引用与 CNA 容器中的引用保持相同的格式。

CVE 程序容器可能包含带有x_transferred标记的引用。带有此标签的引用是于 2024 年 7 月 31 日从 CNA 容器中读取的。这是一份“一次性”副本，用于维护截至 2024 年 7 月 31 日的 CNA 参考列表的“状态”。在此日期之后添加的 CVE 程序引用将不具有 *x_transfered" 标记。

对于 2024 年 7 月 31 日之后创建的新 CVE 记录，如果未添加程序提供的丰富数据，则不会有与 CVE 记录关联的 CVE Porgram 容器。

所需的容器处理： 2024 年 7 月 31 日之后，要检索有关 CVE 存储库中报告的漏洞的所有信息，工具供应商和社区用户将需要检查 CVE 记录 CNA 容器和 CVE 程序容器（如果存在）。获取本程序所需的核心信息最少需要这两个容器。从程序的角度来看，所有其他 ADP 容器仍然是可选的。

重复参考的可能性参考重复的可能性是由多个组织在不同位置提供参考而造成的。下游用户必须确定适当的方法来解决 CNA 容器和 CVE 程序容器之间潜在的引用重复问题。

CISA-ADP 容器于 6 月 4 日启动，旨在为未来的 CVE 记录提供增值信息，并追溯至 2024 年 2 月。

CISA ADP 提供三个组件来丰富 CVE 记录：

1. 利益相关者特定漏洞分类 (SSVC)
2. 已知可利用漏洞 (KEV) 目录数据
3. “漏洞丰富”更新（例如，满足特定威胁特征的 CVE 记录缺少 CVSS、CWE、CPE 信息，以及 CNA 本身不提供的信息）

请参阅 CISA ADP 流程或 CISA Vulnrichment github 站点，了解所提供信息及其记录格式的完整说明。

从此存储库下载 CVE 记录的主要方法有 2 种：

1. 使用git客户端——这是使用大多数开发人员熟悉的工具保持 CVE 列表最新的最快方法。有关更多信息，请参阅下面的git部分
2. 使用发布 zip 文件。有关更多信息，请参阅下面的版本部分。

使用git命令行工具或任何 git UI 客户端是了解最新 CVE 列表的最简单方法。首先，克隆此存储库： git clone [email protected]:CVEProject/cvelistV5.git 。克隆后，您可以随时git pull获取最新更新，就像任何其他 GitHub 存储库一样。

该存储库包含从官方 CVE 服务 API 生成的所有当前 CVE 记录的发行版本。所有时间均以协调世界时 (UTC) 列出。每个版本都包含自上次版本以来添加或更新的 CVE 的描述，以及包含下载的资产部分。请注意，zip 文件非常大，因此下载需要一些时间。

• 基线下载在每天午夜发布，并以以下文件名格式发布在资产下： Year-Month-Day_all_CVEs_at_midnight.zip _all_CVEs_at_midnight.zip（例如， 2024-04-04_all_CVEs_at_midnight.zip ）。该文件 24 小时内保持不变。如果您每天（或不太频繁）使用 zip 文件更新 CVE 列表，那么这是最好的选择。
• 资产下还使用文件名格式提供每小时更新： Year-Month-Day _delta_CVEs_at_Hour 00Z.zip ，（例如2024-04-04_delta_CVEs_at_0100Z.zip ）。如果您需要每小时准确的 CVE 列表，这会很有用。请注意，此文件仅包含自基线 zip 文件以来的增量。

CVE 计划目前已意识到以下与 CVE 列表下载相关的问题。 CVE 自动化工作组 (AWG) 目前正在解决这些问题。如果有更新或解决方案，将在此处注明。

1. 更新日期：2024 年 9 月 17 日： 2023 年之前发布的一些 CVE 记录的发布、保留和更新日期不正确。截至 2024 年 9 月 17 日，此问题已得到更正。

2. 2024 年 9 月 17 日添加： MITRE CNA-LR 在 2024 年 5 月 8 日至 2024 年 6 月 7 日期间发布的 CVE 记录存在发布和更新日期差异（影响大约 515 条记录）。
   此 CVE 指标存储库（以及其他发布/更新数据敏感分析）的用户应注意此问题。即将修复。

请使用以下其中一项：

• 报告存储库和下载文件问题（通过 GitHub 上的 cvelistV5 存储库问题跟踪器）
• 报告 CVE 记录内容的问题（通过 CVE 计划请求 Web 表单）

此存储库包含 CVE 计划合作伙伴发布的 CVE 记录。它不接受拉取请求。

您可以使用 git clone 克隆存储库。但是，拉取请求将不会被接受。

请使用 CVE 请求 Web 表单并从下拉列表中选择“其他”。