花店V5

注意 2024-09-17 CVE 儲存庫歷史記錄更正：最初在 2023 年之前發布的保留/發布/更新日期不正確的 CVE 記錄已修正。作為 JSON 5.0 CVE 記錄採用的一部分，此操作修正了大約 27,000 條被指派了錯誤保留、發布或更新日期的記錄。

注意 2024-07-31 CVE 記錄現在可能包含一個名為CVE 程式容器的新容器：此新容器提供由 CVE 程式新增的附加信息，以包括程式新增的參考。該儲存庫的使用者可能需要處理兩個容器。請參閱下文以了解更多資訊。

注意 2024 年 5 月 8 日下午 5:30 ：CVE REST 服務已於 2024 年 5 月 8 日下午 5:30（美國東部時間）更新為 CVE 記錄格式架構 5.1。透過此更新，此儲存庫中的 CVE 記錄現在可以是 5.0 或 5.1 格式的記錄。格式反映在“dataversion”欄位中。建議「驗證」CVE 記錄的此儲存庫的使用者使用此欄位中反映的適當版本的架構（即 5.0 或 5.1）來驗證記錄。使用者不應根據新格式的部署日期（即 2024 年 5 月 8 日下午 5:30 EDT）確定使用哪個架構，因為發布/更新的日期值存在不一致。

該存儲庫是官方 CVE 列表。它是由 CVE 計劃識別或報告給 CVE 計劃的所有 CVE 記錄的目錄。

此儲存庫託管 CVE 記錄格式的 CVE 記錄的可下載檔案（檢視架構）。它們使用官方 CVE 服務 API 定期更新（大約每 7 分鐘）。您可以根據 CVE 計劃使用條款搜尋、下載和使用此儲存庫中託管的內容。

不再支援舊格式下載- 所有對舊 CVE 內容下載格式（即 CSV、HTML、XML 和 CVRF）的支援已於 2024 年 6 月 30 日結束。年前六個月，已被此儲存庫取代，成為唯一受支援的CVE 記錄下載方法。在這裡了解更多。

CVE 記錄現在可能包含多個容器：

• 一個 CNA 容器
• CVE 程式容器
• 可選的多個 ADP 特定容器

2024 年 7 月 31 日之後為 CVE 記錄新增的所有 CVE 程式引用都將儲存在該記錄的 CVE 程式容器中。 CNA 提供的參考將繼續儲存在 CNA 容器中。

CVE 程式容器在 CVE 記錄中以 ADP 容器格式實作。

CVE 程式容器中的特定 JSON/CVE 記錄欄位如下：

• adp:標題欄位：“ CVE 程式容器”
• adp:providerMetadata:shortName:" CVE "
• adp:references 字段，如此處所述

CVE 程式容器中的引用與 CNA 容器中的引用保持相同的格式。

CVE 程式容器可能包含帶有x_transferred標記的參考。帶有此標籤的引用是於 2024 年 7 月 31 日從 CNA 容器中讀取的。這是一份「一次性」副本，用於維護截至 2024 年 7 月 31 日的 CNA 參考清單的「狀態」。在此日期之後新增的 CVE 程式引用將不具有 *x_transfered" 標記。

對於 2024 年 7 月 31 日之後建立的新 CVE 記錄，如果未添加程式提供的豐富數據，則不會有與 CVE 記錄關聯的 CVE Porgram 容器。

所需的容器處理： 2024 年 7 月 31 日之後，要檢索有關 CVE 存儲庫中報告的漏洞的所有信息，工具供應商和社區用戶將需要檢查 CVE 記錄 CNA 容器和 CVE 程序容器（如果存在）。取得本程式所需的核心資訊最少需要這兩個容器。從程式的角度來看，所有其他 ADP 容器仍然是可選的。

重複參考的可能性參考重複的可能性是由多個組織在不同位置提供參考所造成的。下游使用者必須確定適當的方法來解決 CNA 容器和 CVE 程式容器之間潛在的引用重複問題。

CISA-ADP 容器於 6 月 4 日啟動，旨在為未來的 CVE 記錄提供增值信息，並追溯至 2024 年 2 月。

CISA ADP 提供三個元件來豐富 CVE 記錄：

1. 利害關係人特定漏洞分類 (SSVC)
2. 已知可利用漏洞 (KEV) 目錄數據
3. 「漏洞豐富」更新（例如，滿足特定威脅特徵的 CVE 記錄缺少 CVSS、CWE、CPE 信息，以及 CNA 本身不提供的信息）

請參閱 CISA ADP 流程或 CISA Vulnrichment github 站點，以了解所提供資訊及其記錄格式的完整說明。

從此儲存庫下載 CVE 記錄的主要方法有 2 種：

1. 使用git客戶端－這是使用大多數開發人員熟悉的工具來保持 CVE 清單最新的最快方法。有關更多信息，請參閱下面的git部分
2. 使用發布 zip 檔案。有關更多信息，請參閱下面的版本部分。

使用git命令列工具或任何 git UI 用戶端是了解最新 CVE 清單的最簡單方法。首先，複製此儲存庫： git clone [email protected]:CVEProject/cvelistV5.git 。複製後，您可以隨時git pull取得最新更新，就像其他 GitHub 儲存庫一樣。

此儲存庫包含從官方 CVE 服務 API 產生的所有目前 CVE 記錄的發行版本。所有時間均以協調世界時 (UTC) 列出。每個版本都包含自上次版本以來新增或更新的 CVE 的描述，以及包含下載的資產部分。請注意，zip 檔案非常大，因此下載需要一些時間。

• 基線下載在每天午夜發布，並以以下文件名格式發佈在資產下： Year-Month-Day_all_CVEs_at_midnight.zip _all_CVEs_at_midnight.zip（例如， 2024-04-04_all_CVEs_at_midnight.zip ）。該文件 24 小時內保持不變。如果您每天（或不太頻繁）使用 zip 檔案更新 CVE 列表，那麼這是最好的選擇。
• 資產下也使用檔案名稱格式提供每小時更新： Year-Month-Day _delta_CVEs_at_Hour 00Z.zip ，（例如2024-04-04_delta_CVEs_at_0100Z.zip ）。如果您需要每小時準確的 CVE 列表，這會很有用。請注意，此文件僅包含自基準 zip 檔案以來的增量。

CVE 計劃目前已意識到以下與 CVE 清單下載相關的問題。 CVE 自動化工作小組 (AWG) 目前正在解決這些問題。如果有更新或解決方案，將在此註明。

1. 更新日期：2024 年 9 月 17 日： 2023 年之前發布的一些 CVE 記錄的發布、保留和更新日期不正確。截至 2024 年 9 月 17 日，此問題已得到更正。

2. 2024 年 9 月 17 日新增： MITRE CNA-LR 在 2024 年 5 月 8 日至 2024 年 6 月 7 日期間發布的 CVE 記錄存在發布和更新日期差異（影響約 515 筆記錄）。
   此 CVE 指標儲存庫（以及其他發布/更新資料敏感分析）的使用者應注意此問題。即將修復。

請使用以下其中一項：

• 報告儲存庫和下載檔案問題（透過 GitHub 上的 cvelistV5 儲存庫問題追蹤器）
• 報告 CVE 記錄內容的問題（透過 CVE 計畫請求 Web 表單）

此儲存庫包含 CVE 計劃合作夥伴發布的 CVE 記錄。它不接受拉取請求。

您可以使用 git clone 克隆儲存庫。但是，拉取請求將不會被接受。

請使用 CVE 請求 Web 表單並從下拉清單中選擇「其他」。