网络安全知识图谱构建之CVE安全漏洞库

【网络安全知识图谱构建之CVE安全漏洞库】CVE(Common Vulnerabilities & Exposures) , 通用漏洞和风险 , 是国际著名的安全漏洞库 , 也是对已知漏洞和安全缺陷的标准化名称的列表 , 它是一个由企业界、政府界和学术界综合参与的国际性组织 , 采取一种非盈利的组织形式 , 其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞 。
NVD中CVE信息解读 。 一个完整的CVE信息包含六部分 , 元数据 , 漏洞影响软件信息 , 漏洞问题类型 , 参考和漏洞祭扫 , 配置信息 , 漏洞影响和评分 。 CVE安全漏洞库构建如下图 。
网络安全知识图谱构建之CVE安全漏洞库文章插图
cve安全漏洞知识图谱构建
图中红色的2个部分是与其他库有交集的 。 有些数据数据使用比较广泛 , 所以单独提取出来 , 比如CPE相关的一些数据 。
CVE可以理解成是对漏洞的收录和编号 , 一个很水的漏洞也是可以申请CVE编号 。
当然 , 这里是针对通用组件漏洞的 , 这也就是大家经常会看到会有安全人员在自己的简历写自己获得了多少个CVE编号 , 那意味着对应编号的通用组件漏洞是当时由他发现的0DAY , 是他拥有独立的0DAY发现能力的象征 。
格式:CVE-漏洞披露年份-当年编号
例子:心脏出血漏洞:CVE-2014-0160
CVE安全漏洞库是公开的 , 来源有2个 。
1. cve主页:
下载地址:data/downloads/index.html
2. nvd中cve下载地址:
文件下载是分年:
……


    推荐阅读