山石网科获CVE漏洞编号颁发权限近日,山石网科通过 CNA 准入程序,正式成为 CVE 编号颁发机构CNA。
CVE全称是 Common Vulnerabilities & Exposures(通用漏洞 & 披露),是全球安全领域最知名的一个漏洞披露库,类似于中国的国家信息安全漏洞库 CNNVD和CNVD,其收录着全球各大厂商以及常用软硬件产品的漏洞信息,并会给出漏洞相应严重程度分级。CVE 中每个漏洞都拥有唯一 CVE 编号,用户可以通过 CVE 编码在漏洞数据库或安全工具中快速找到漏洞影响范围和修补信息。
CNA(CVE Numbering Authority,CVE 编号机构)是 CVE 编号的分发机构,成员包括供应商、开源项目社区、漏洞研究人员、国家计算机安全应急响应组等,主要职能是在授权范围内颁发和管理 CVE 编号。目前有来自36个国家的 275 个组织成员,包括 Adobe、Apple、Microsoft、Google等知名厂商,目前中国的CNA成员包括Alibaba、Huawei、Lenovo、OPPO、Vivo、Xiaomi 与 ZTE 等企业,山石网科也是全球成员中为数不多的中国厂商,目前还是唯一的一家中国安全厂商。
山石网科从创始至今都非常重视产品的安全性和稳定性,山石安研院一直在推动产品安全体系的建设,从PSIRT的规划成立到本次加入CNA,在公司内部也一直由山石安全技术研究院专门负责产品安全的研究和测试,这次我们成为CVE CNA也是重视产品安全的很好体现。
在外部山石一直鼓励全球的漏洞研究人员、行业组织、政府机构和供应商将与山石网科软硬件产品相关的安全漏洞报告给山石网科,PSIRT会对符合奖励要求的漏洞报告者进行奖励,此次山石网科加入 CNA,意味着其拥有直接分发和管理相关产品 CVE 编号的权限,更好地响应相关安全问题,加强与外部安全研究员的联系及合作。