Linux 内核已被接受为 CVE 编号机构 (CNA),这意味着他们将直接管理内核的 CVE。Linus Torvalds 近日在邮件列表发布了 Linux 6.8-rc5,并介绍称文档添加了 CVE 漏洞处理相关的指南。
CVE 文档页面
文档写道,Linux 内核开发团队有能力为潜在的内核安全问题分配 CVE,而分配的 CVE 编号将在 linux-cve-announce 邮件列表上公布,修复的安全漏洞才会分配 CVE 编号,未修复的不会自动分配编号。
https://lore.kernel.org/linux-cve-announce/
CVE 是通用漏洞披露 (Common Vulnerabilities and Exposures) 的英文缩写,列出了已公开披露的各种计算机安全缺陷。CVE 识别号由 CVE 编号管理机构 (CNA) 分配。
任何人都可以从任何地方进行 CVE 报告。无论是供应商、研究人员或是个人用户,都有可能发现缺陷,并促使他人予以关注。很多供应商都会提供错误报告奖励,以鼓励相关人员负责任地披露各种安全问题。
在 Linux 内核成为 CNA 之前,它无法自行管理内核的 CVE 漏洞编号分配。由于内核是系统的底层,几乎任何错误都可能被用于危害内核安全,但当错误被修复时,被利用的可能性通常不明显。过去 CNA 过于谨慎,几乎为发现或收到的任何安全漏洞分配了 CVE 编号,导致 Linux 内核团队需要花费大量时间处理许多未造成重大影响的漏洞。
因此接下来 Linux 内核中未修复的安全漏洞不会提前分配 CVE 编号,只有在漏洞被修复后才会分配 CVE 编号,这样可以通过正确的方式来追踪原始修复的 git commit ID。
延伸阅读:curl 项目已被接受为 CVE 编号机构 (CNA)
