《CNNVD漏洞编码规范》
作者:CNNVD 时间:2015年10月10日

       国家信息安全漏洞库(下称:CNNVD)使用《CNNVD漏洞编码规范》对漏洞进行统一编码(唯一标识),于2009年10月18日正式使用。
一、CNNVD-ID定
      CNNVD收录漏洞数据后,为便于识别且体现数据唯一性、规范性、兼容性,统一为每一条漏洞分配一个唯一的编号,即CNNVD-ID。
二、编码原
     1)   唯一性:每条漏洞数据的编号是唯一的。
     2)   易识别性:易于识别数据产生的时间。
     3)   透明性:编码中避免暴露业务信息。
      CNNVD-ID语法规
CNNVD + 年、月 + 任意数
      其中,“CNNVD”为固定编码前缀;“年”为四位;“月”为两位;“任意数字”从固定的三位开始,在有需要的时候扩展位数。
       举例:
            
固定三位ID
当需要4位ID时 当需要5位ID时
CNNVD-201501-001     CNNVD-201501-1001
CNNVD-201501-10001
·
·
·
·
·
·
·
·
·
CNNVD-201501-999     CNNVD-201501-9999
CNNVD-201501-99999

三、适用范
      是被CNNVD收录的漏洞,均适用此编码语法规范,包括采集的公开漏洞以及收录的未公开漏洞。
四、与CVE-ID的关
      CVE-ID作为国际通用的漏洞标识格式,CNNVD-ID与其是一一对应关系,即任意CVE-ID都有唯一的CNNVD-ID进行标识
五、帮
      如有任何问题或了解更多信息,请发邮件至CNNVD@itsec.gov.cn
附件:编制说明
关于漏洞编码调研分析报告
       一、 调研结果:
       针对漏洞编码语法规则的制定,对CVE、Bugtraq、Secunia、CNVD、乌云、360补天等国内外一些重要的漏洞发布平台进行分析调研,结合CNNVD当前业务拟采用上述编码规则。上述平台,除Bugtraq和Secunia仅以数字代表漏洞编号(BID:72853,SID:58037)外,其他均采用“前缀-年-数字”的形式表示。
        对于编码中未体现提交单位的情况,在漏洞展示页面中有“提交人员”、“提交单位”等属性项,可以提供相应的展示、统计等功能。
       二、 调研内容如下:
        1. CVE编码调研
        CVE-ID编码语法规则为:
        CVE prefix + Year + Arbitrary Digits
        “CVE”为固定前缀;“Year”为四位数;“任意位数”从固定的四位数开始,当有需要的时候扩展位数,如下图:

        CVE-ID举例:CVE-2015-0025、CVE-2014-10002
        2. Bugtraq编码调研
        Bugtraq漏洞平台对漏洞的编码仅为一串数字(BID:72853),且官网未对编码标准进行说明。
        3. Secunia编码调研
        Secunia漏洞平台对漏洞的编码仅为一串数字(SID:58037),且官网未对编码标准进行说明。
       4. 乌云编码调研
       乌云平台漏洞编码语法规则,通过调研分析结果如下:
WooYun + 年 + 任意数字
        其中,“WooYun”未固定前缀;“年”为四位数;“任意数字”从固定的五位数开始(即从00001开始计算),当有需要的时候进行扩展位数。
       举例:WooYun-2015-103826
        5. “补天”平台漏洞编码调研
       “补天”平台漏洞编码语法规则,通过调研分析结果如下:
QTVA + 年 + 任意数字
        其中,“QTVA”为固定前缀;“年”为四位数;“任意数字”从固定的五位数开始(即从00001开始计算),当有需要的时候进行扩展位数。
        举例:QTVA -2015-203309
        6. CNVD编码调研
       CNVD国家信息安全漏洞共享平台漏洞编码语法规则,通过分析结果如下:
 CNVD + 年 + 任意数字
       其中,“CNVD”为固定前缀,“年”为四位数字;“任意数字”从固定的四位数开始(即从0001开始计算),当有需要的时候进行扩展位数。
       举例:CNVD-1988-0001、CNVD-2015-01574


漏洞信息快速查询