CNNVD漏洞影响实体描述规范
作者:CNNVD  时间:2015年10月10日



一、定义
       漏洞影响实体是描述安全漏洞信息时不可或缺的一个属性项,可以分为硬件、操作系统及应用程序等不同类型(部件)。根据漏洞影响实体组成类型不同及漏洞影响产品类型不同,用基本描述结构体和逻辑连接组合来对其进行描述。
二、描述原则
        1) 通用性:能够描述所有的信息系统。
       2) 一致性:相同组成部分的描述名称必须一致。
       3) 概括性:能够概括具有某特点的一类信息系统。
       4) 结构化:拥有清晰、分块、可读性高的描述格式。
       5) 简易性:简化描述的名称和描述结构体。
三、适用范围
       凡是被CNNVD漏洞库收录的漏洞,均适用此编码语法规范,包括采集的公开漏洞以及收录的未公开漏洞。
、漏洞影响实体描述规范
       基本描述结构
       基本描述结构是描述漏洞影响实体的命名方法,它由部件、生产厂商、产品名称、产品版本、更新版本、适用版本、界面语言等属性项组成,根据漏洞影响实体界面语言、主要应用国别等确定采用中文或英文进行描述,描述规则如下:
       CNCPE:/{部件}:{生产厂商}:{产品名称}:{产品版本}:{更新版本}:{适用版本}:{界面语言}
       CNCPE:/{part}:{vendor}:{product}:{version}:{update}:{edition}:{language}
       该命名规则对于其中出现的英文名称大小写不敏感。各命名元素之间以英文冒号“:”作为分隔符,无空格。若对应项没有相关信息,允许空项,直接进入下一个分隔符;若对应项不适用于该产品,则该项填“-”。下面分别对各项进行说明。
       1) 部件
       部件分为三类:硬件(Hardware)、操作系统(Operating system)和应用(Application)。
       1、中文表达形式为:硬件、操作系统、应用。例如:
       CNCPE:/应用:北京智通:网际快车:3.5:::中文-台湾
      2、英文表达形式为:h、o、a。例如:
       CNCPE:/a:acme:product:1.0:update2:-:en-us
       2) 生产厂商
       生产厂商名称通常采用生产厂商的注册域名进行命名。
       1、英文名称采用生产厂商所在最高组织的域名。
       2、中文名称如果有中文域名,优先采用中文域名;如果只有英文域名,采用对应英文域名的中文翻译(如有)。
       3、对于分享同一域名、不同后缀的生产厂商,采用域名的全称。
       4、对于无特定域名的中国生产厂商,命名采用营业执照上的机构名称,省略公司性质字段。
       5、对于无生产厂商的产品,生产厂商项采用开发者全名。英文单字间空格改为“_”,中文开发者采用其中文全名。
       6、生产厂商名称随着厂家自身更名而更新。
       生产厂商名称(附录A.2)。
       3) 产品名称
       产品名称依据生产厂商对产品的正式命名。
       1、中英文产品名称通常保留全名,英文全名各个单词间用“_”相连。
       2、对于具有官方惯用缩写且缩写不会引起名称混淆的产品名称,可以适当用英文缩写命名。
       3、产品名称同产品全名的更新保持一致。
      产品最通用或可识别的名称(附录A.3)。
      4) 产品版本
       使用厂商指定的版本号(附录A.4),此处不应缩减或修改。但可以使用“*”“?”等通配符辅助描述版本号。
      5) 更新版本
       更新版本反映同一产品版本下的更新情况或服务包信息,其表达往往因生产厂商和产品不同而不同,对此,一律按照生产厂家所规定的或产品自带的更新信息来表示。
       使用厂商指定的更新号或名称(附录A.5)。
       6) 适用版本
      适用版本反映产品适用的对象或平台(附录A.6)。其中,缩写规则参考(附录A.8)。
       7) 界面语言
       界面语言按照IETF RFC 4646 Tags for Identifying Languages中定义的语言标签来表示。(附录A.7)。
       逻辑连接符号
       出于漏洞影响实体组成的复杂性,及漏洞影响的产品和版本多样性,上面的基本描述结构不能满足部分漏洞所影响的产品。用“AND”(同时满足)、“OR”(满足任一)、“NOT”(不满足)三个逻辑连接符号连接不同的基本结构。如果结构比较复杂,则可以用小括号取优先顺序。示例参见附录A.9。
五、 漏洞影响实体举例
       以下为几个产品命名示例:
       1.产品:Chinese Version of Mozilla Firefox Version 2.0 for the Mac OSX operating system
          描述:CNCPE:/a:mozilla:firefox:2.0::osx:zh-tw
                  CNCPE:/应用:Mozilla:火狐:2.0::osx:zh-tw
       2.产品:Adobe Reader 9.3简体中文版
          描述:CNCPE:/a:adobe:adobe_reader:9.3:::zh-cn
                  CNCPE:/应用:adobe:adobe_reader:9.3:::zh-cn
       3.产品:Foxmail 6.0简体中文版
          描述:CNCPE:/a:foxmail:foxmail:6.0:::zh-cn
                  CNCPE:/应用:foxmail:foxmail:6.0:::zh-cn
       4.产品:瑞星杀毒软件2010版
         描述:CNCPE:/a:Rising:Rising_Antivirus:2010:::zh-cn
                  CNCPE:/应用:瑞星:瑞星杀毒软件:2010:::zh-cn

附 录 A(资料性附录)

A.1 部件
       优先使用对应英文的头字母表示,目前只定义硬件、操作系统、应用程序三种部件。如表A.1所示。
       表A.1部件表示示例   

部件

表示

硬件

h

操作系统

o

应用程序

a


A.2 生产厂商
       一个厂商存在多种名称描述。为了唯一、准确地描述厂商,使用该厂商最具知名度的域名名称。即使域名名称和厂商名称不同。表A.2给出示例。
      表A.2生产厂商表示示例

厂商全名

DNS域名

厂商描述名称

Cisco Systems,Inc.

cisco.com

cisco

The Mozilla Foundation

mozilla.org

Mozilla

腾讯公司

tencent.com

tencent


开发者姓名

生产厂商名

John Smith

John_Smith

张三

张三



A.3 产品名称
       对于英文多个单词或中文多个词组成的产品名称,用下划线代替空格。如:

adobe:flash_player:12.0.*



       如果厂商官方指定产品的缩写,则采用缩写名。如表A.3所示.
        表A.3产品表示示例

产品名称

缩略语

Internet Explorer

ie

Java Runtime Environment

jre

A.4 产品版本
       版本号必须是厂商指定的,如:

a:microsoft:ie:11.0.9600.16521



       在版本号中加入通配符“*”,可以用来表示一系列连续版本如:

a:microsoft:ie:11.0.*


A.5 更新版本
       更新包的表示方法必须和厂商官方公布的一致。如:

o:redhat:enterprise_linux:4:update4



A.6 适用版本
       适用版本反映产品适用的对象或平台。
       Microsoft Windows 2000 Service Pack 4 Professional Edition的适用版本为pro。如:

o:microsoft:windows_2000::sp4:pro



A.7 界面语言
       只能使用表示地区和语言的代码表示。如:

a:mozilla:firefox:2.0.0.6::osx:zh-tw



A.8 常用缩略语
       下列是描述名称中常用的缩略语:
       adv           高级的(advanced)
       pro           专业的(professional)
       srv            服务(server)
       std            标准(standard)
       ed             版本形式(edition)
       pl3            升级补丁3(patch level 3)
       r3              正式版3(release 3)
       rc2            候选发布版2(release candidate 2)
       sp4           服务包4(service pack 4)
       sup2        支持包2(support pack 2)
       ga            正式发布版本(general availablity)
A.9 逻辑连接示例
       “AND”连接的基本结构必须是不同部件。
       以操作系统为windows 7 sp1,装有IE6或IE8的信息系统为例。使用通用信息系统描述后如下所示。

(a:microsoft:ie:10 OR a:microsoft:ie:11)

AND

o:microsoft:windows_7::sp1





漏洞信息快速查询