微软很高兴地宣布，自2023年1月11日起，我们将通过安全更新指南（SUG）的通用漏洞报告框架（CVRF）API发布CBL-Mariner相关的CVE。CBL-Mariner是微软构建的Linux发行版，用于支持Azure的云和边缘产品及服务，目前作为AKS容器主机处于预览阶段。共享有关已修复CBL-Mariner上游开源项目漏洞的CVE，将帮助安全团队获取最新信息，以便在云和边缘场景中快速、一致地发现、评估和修补系统。

将CBL-Mariner CVE添加到CVRF API中，意味着每月发布的CVE数量将大幅增加。对于通过API接收CVE但不希望接收CBL-Mariner相关CVE的客户，我们建议您创建一个自动化流程来过滤掉与CBL-Mariner相关的CVE。您可以通过检查CVE是否包含值为“Managed by Mariner”的标签来识别Mariner CVE。

以下是一个指向示例PowerShell脚本的链接，可帮助您浏览CVRF API上的数据。下面的代码片段（未在链接的GitHub页面上显示）演示了如何使用PowerShell脚本查找每月发布中第一个CVE（未指定）的标签：

1

# 示例PowerShell脚本代码片段

CBL-Mariner由多个上游开源项目构建而成，因此大多数CBL-Mariner CVE由其他组织（也称为CVE编号机构（CNA））编写和发布。CVRF API将包含所属CNA作为CVE记录的一部分，通过Type=8引用。鼓励安全研究人员直接与相应的上游开源项目合作，报告问题或发现。

随着我们继续改进SUG中的功能和数据，我们始终致力于为客户提供最佳的体验。如果您有任何问题或建议，请随时通过MSRC支持表单与我们联系。

Lisa Olson 和 Japhet Debrah
微软安全响应中心