为进一步加强漏洞威胁信息共享,提升全社会全行业的漏洞威胁预警和安全防范能力,促进CNVD中文漏洞信息的规范使用,CNVD秘书处近期向全社会全行业开放CNVD网站(http://www.cnvd.org.cn)公开发布的漏洞信息的批量获取方式,相关情况公告如下:
一、CNVD漏洞批量获取方式 CNVD前台注册用户(包括企业账号、个人账号)登陆后,进入CNVD网站“统计查询”—“共享数据”页面即可看到共享数据。CNVD秘书处每周一按既定格式(xml标准格式)将上周收录并发布的漏洞信息进行批量共享。相关数据字段包括:CNVD编号、引用编号(CVE、BID或其他)、漏洞名称、漏洞危害等级、影响产品、漏洞类型(是否为事件型漏洞)、漏洞报送时间、漏洞公开时间、漏洞发现者、漏洞描述、解决办法、补丁名称、补丁描述等。
图 CNVD共享数据字段示例
CNVD技术组成员单位及其他在CNVD兼容性方面有需求的厂商可以通过向CNVD秘书处(vsupport@cert.org.cn)申请使用CNVD公开漏洞信息全量共享接口(API)的方式获取2011年1月1日以后的CNVD网站发布的漏洞信息,并按天同步获取最新信息。接口获得的相关数据字段较上述网站共享数据要更为丰富,具体示例如下图所示:
图 CNVD全量共享接口数据字段示例
二、漏洞信息库共建共享倡议 CNVD建立和运行的主要目标即与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集验证、预警发布及应急处置体系,切实提升我国在安全漏洞方面的整体研究水平和及时预防能力。
CNVD的发展离不开国家有关主管部门的关心和指导,离不开CNVD成员单位以及安全研究机构、安全研究者(白帽子)、行业厂商的参与和贡献。2016年,CNVD收录并公开发布的漏洞数量首次破万,达到10822个。2016年,“北京启明星辰信息安全技术有限公司”等13家单位获得“漏洞信息报送突出贡献单位”表彰、“腾讯玄武实验室”以及“HXY”等7家单位和6位白帽子个人获得“原创漏洞报送突出贡献”表彰,还有“中国电信集团公司网络运行维护部”等12家单位在漏洞应急处置协作及技术协作方面表现突出。
CNVD继续向全社会发出漏洞信息库共建共享倡议,通过开展漏洞信息中文化整理、漏洞威胁信息分析和预警、漏洞风险发现与报告等方面工作,营造良性的漏洞发现与报告环境,加强漏洞收集、整理、分析和处置等环节管理。同时,CNVD后续将在软硬件产品应用识别、验证信息无害化研究、漏洞攻击防护等核心能力方面与网络安全业界加强互动协作,切实提升全行业、全社会的威胁感知和安全防护能力。
CNVD网站:www.cnvd.org.cn
邮箱:vreport@cert.org.cn
联系电话:010-82990286