1. 什么是 CVE
中文
CVE 的全称是 Common Vulnerabilities and Exposures ,中文一般翻译为 通用漏洞与暴露 。
你可以把它理解成:
给每一个公开已知安全漏洞分配一个统一编号的系统。
这样无论是安全研究员、厂商、运维人员,还是企业安全团队,只要提到同一个 CVE 编号,大家说的就是同一个漏洞。
English
CVE stands for Common Vulnerabilities and Exposures .
It is a standardized system for assigning unique IDs to publicly known security vulnerabilities.
It helps everyone refer to the same vulnerability using the same identifier.
2. 一句话理解
中文
CVE 就像漏洞的"身份证号码"。
English
CVE is like an ID number for a security vulnerability.
3. 为什么需要 CVE
中文
如果没有 CVE,同一个漏洞可能会被不同公司、不同研究员用不同名字来叫,容易混乱。
有了 CVE 后:
- 大家可以统一讨论同一个漏洞
- 方便查资料
- 方便写补丁说明
- 方便做漏洞管理和风险跟踪
- 方便 SOC / 安全团队沟通
English
Without CVE, the same vulnerability might be described differently by different people.
CVE provides a common reference so people can:
- discuss the same issue clearly
- search for vulnerability information
- track patches and fixes
- manage risks consistently
4. CVE 的格式
中文
CVE 编号通常长这样:
CVE-年份-编号
例如:
- CVE-2014-0160 → Heartbleed
- CVE-2024-29988 → 某个 2024 年登记的漏洞编号
这里:
- CVE = 漏洞编号系统
- 2014 / 2024 = 编号分配年份
- 0160 / 29988 = 该漏洞的唯一序号
English
A CVE ID usually looks like this:
CVE-Year-Number
Example:
- CVE-2014-0160
- CVE-2024-29988
Where:
- CVE = the identifier system
- Year = the year the CVE ID was assigned
- Number = the unique vulnerability number
5. 关键词
- CVE = Common Vulnerabilities and Exposures
- Vulnerability = 漏洞
- Exposure = 暴露 / 安全暴露点
- Identifier = 标识符
- Standardized = 标准化的
- Publicly known vulnerability = 公开已知漏洞
- MITRE = 维护 CVE 项目的组织
- NVD = National Vulnerability Database,美国国家漏洞数据库
6. CVE 和谁有关
中文
CVE 项目主要和这些对象有关:
- MITRE:维护 CVE 体系
- 厂商:比如 Microsoft、Cisco、OpenSSL 等
- 安全研究员:发现漏洞并报告
- 企业安全团队:用 CVE 跟踪风险
- 漏洞数据库:如 NVD 会收录 CVE 并补充评分信息
English
CVE is used by:
- MITRE
- Vendors
- Security researchers
- Security teams
- Vulnerability databases such as NVD
7. CVE 不是什么
这个很容易考。
中文
CVE 不是漏洞本身。
它只是漏洞的 编号 / 名字 / 标识。
CVE 也不是漏洞评分系统。
漏洞的严重程度通常看的是 CVSS,不是 CVE。
English
CVE is not the vulnerability itself.
It is just the identifier for the vulnerability.
CVE is also not a severity scoring system.
Severity is usually measured with CVSS, not CVE.
8. CVE 和 CVSS 的区别
CVE
- 是什么漏洞
- 给漏洞编号
- 作用:统一命名
CVSS
- 漏洞有多严重
- 给漏洞打分
- 作用:评估风险等级
一句话区分
CVE tells you WHICH vulnerability it is.
CVSS tells you HOW SEVERE it is.
9. 例子
例子 1
CVE-2014-0160 = Heartbleed
这个是 OpenSSL 里一个很著名的漏洞。
大家一提到 CVE-2014-0160,就知道说的是 Heartbleed。
Example 1
CVE-2014-0160 refers to Heartbleed, a famous OpenSSL vulnerability.
10. 考试常见问法
题型 1
What does CVE stand for?
答案:Common Vulnerabilities and Exposures
题型 2
What is the purpose of CVE?
答案:给公开漏洞一个统一的标准编号,方便识别、沟通和跟踪。
题型 3
Is CVE a severity score?
答案:No. CVE is an identifier, while CVSS is a scoring system.
题型 4
Who maintains the CVE system?
答案:MITRE
11. 易错点 / 易混点
易混 1:CVE vs CVSS
- CVE = 编号
- CVSS = 严重程度评分
易混 2:CVE vs NVD
- CVE = 漏洞 ID 系统
- NVD = 漏洞数据库,会引用 CVE 并补充更多信息
易混 3:有 CVE 不代表马上被攻击
CVE 只说明这是一个已知漏洞编号,
不等于 你的系统已经被攻击了。
12. 记忆点
中文记忆口诀
CVE 看编号,CVSS 看高低。
或者:
CVE 是名字,CVSS 是分数。
English memory trick
CVE = name / ID
CVSS = score
13. 最简答题模板
英文版
CVE (Common Vulnerabilities and Exposures) is a standardized identifier system for publicly known security vulnerabilities. It helps security researchers, vendors, and IT professionals refer to the same vulnerability using a unique ID, such as CVE-2014-0160.
中文版
CVE(Common Vulnerabilities and Exposures,通用漏洞与暴露)是一个为公开已知安全漏洞分配标准化唯一编号的系统,方便研究人员、厂商和安全团队统一识别、沟通和跟踪同一个漏洞。
14. 超短总结
中文
CVE = 漏洞编号系统。
English
CVE = a standardized vulnerability ID system.