安全更新指南支持行业合作伙伴分配的CVE

大家好， 本月我们将在安全更新指南中为每个CVE引入一个新的数据元素，称为Assigning CNA（分配CNA）。

首先，让我简要介绍一下CVE计划。CVE的目的是唯一标识网络安全漏洞。CVE计划始于1999年，由美国联邦政府资助，目前由网络安全和基础设施安全局（CISA）负责。MITRE Corporation受CISA委托管理该计划。董事会由众多网络安全相关组织组成，包括商业安全工具供应商、学术界、研究机构、政府部门和机构、其他安全专家以及漏洞信息的最终用户。通过开放和协作的讨论，董事会就CVE计划的数据源、产品覆盖范围、覆盖目标、运营结构和战略方向提供关键输入。此外，指定漏洞CVE的公司和机构可以成为CVE编号机构（CNA），这意味着他们有权为其范围内的漏洞分配CVE ID。目前有来自25个不同国家的151个CNA。您可以在此处阅读所有这些信息及更多内容：CVE - Home (mitre.org)。

微软自CVE计划启动以来一直积极参与，并在最早的机会成为CNA。第一个微软CVE是CVE-1999-0007。在该计划的整个生命周期中，我们已经发布了超过7000个CVE。其中超过一半的CVE自2016年安全更新指南推出以来发布。这种增长推动了指南和API的需求，使我们的客户能够以更结构化的方式消化CVE信息。

快进二十年，世界发生了巨大变化。开源软件（OSS）的使用已变得无处不在。封闭、单一来源的专有产品时代真的已经过去。这使得在复杂的企业环境中确保漏洞修补变得相当具有挑战性。正是基于这种考虑，我们引入了这个新的Assigning CNA字段。如果漏洞在捆绑到Microsoft产品中的开源库中被识别和解决，我们将使用此字段。

在本月的CVE集中，我们有一个此类第三方CVE的示例。CVE-2020-26870记录了Cure53 DOMPurify中的一个漏洞，这是Visual Studio使用的开源软件。此CVE的Assigning CNA是MITRE Corporation。在发布此类第三方CVE后，我们将在官方CVE列表的References部分添加指向我们文档的链接。

在安全更新指南中，您可以在CVE详细信息页面上看到此Assigning CNA字段，并可以在Vulnerabilities选项卡上选择查看它。

我们将为这些CVE分配CVSS分数。关于记录OSS漏洞CVSS分数的一个有趣之处：使用具有漏洞的OSS库的一个实现可能表现出与其他实现不同的分数。因此，NIST为此类漏洞记录的分数可能与我们为Visual Studio使用的代码分配的分数不同。如果有兴趣，我们可以在未来的博客中扩展这一点。

我们还将使用此新的Assigning CNA功能以更透明的方式识别其他类型的CVE。许多人可能熟悉咨询ADV200002，我们用它来记录Chrome在开源Chromium软件中识别和删除的漏洞。借助此新功能，我们将直接将这些CVE添加到安全更新指南中，它们的Assigning CNA将是Chrome。

对于使用API的用户，Assigning CNA信息也包含在API中。Assigning CNA信息在Notes部分，类型为8。

我们希望Assigning CNA功能的添加将有助于您的风险分析和漏洞管理。

Lisa Olson，高级安全项目经理，微软安全响应中心