CNNVD漏洞影响实体描述规范
一、定义
       漏洞影响实体是描述安全漏洞信息时不可或缺的一个属性项,可以分为硬件、操作系统及应用程序等不同类型(部件)。根据漏洞影响实体组成类型不同及漏洞影响产品类型不同,用基本描述结构体和逻辑连接组合来对其进行描述。
二、描述原则
       1)   通用性:能够描述所有的信息系统。
       2)   一致性:相同组成部分的描述名称必须一致。
       3)   概括性:能够概括具有某特点的一类信息系统。
       4)   结构化:拥有清晰、分块、可读性高的描述格式。
       5)   简易性:简化描述的名称和描述结构体。
三、适用范围
       凡是被CNNVD漏洞库收录的漏洞,均适用此编码语法规范,包括采集的公开漏洞以及收录的未公开漏洞。
四、漏洞影响实体描述规范
       基本描述结构
       基本描述结构是描述漏洞影响实体的命名方法,它由部件、生产厂商、产品名称、产品版本、更新版本、适用版本、界面语言等属性项组成,根据漏洞影响实体界面语言、主要应用国别等确定采用中文或英文进行描述,描述规则如下:
       CNCPE:/{部件}:{生产厂商}:{产品名称}:{产品版本}:{更新版本}:{适用版本}:{界面语言}
       CNCPE:/{part}:{vendor}:{product}:{version}:{update}:{edition}:{language}
       该命名规则对于其中出现的英文名称大小写不敏感。各命名元素之间以英文冒号“:”作为分隔符,无空格。若对应项没有相关信息,允许空项,直接进入下一个分隔符;若对应项不适用于该产品,则该项填“-”。下面分别对各项进行说明。
       1)部件
       部件分为三类:硬件(Hardware)、操作系统(Operating system)和应用(Application)。
       1、中文表达形式为:硬件、操作系统、应用。例如:
       CNCPE:/应用:北京智通:网际快车:3.5:::中文-台湾
       2、英文表达形式为:h、o、a。例如:
       CNCPE:/a:acme:product:1.0:update2:-:en-us
       2)生产厂商
       生产厂商名称通常采用生产厂商的注册域名进行命名。
       1、英文名称采用生产厂商所在最高组织的域名。
       2、中文名称如果有中文域名,优先采用中文域名;如果只有英文域名,采用对应英文域名的中文翻译(如有)。
       3、对于分享同一域名、不同后缀的生产厂商,采用域名的全称。
       4、对于无特定域名的中国生产厂商,命名采用营业执照上的机构名称,省略公司性质字段。
       5、对于无生产厂商的产品,生产厂商项采用开发者全名。英文单字间空格改为“_”,中文开发者采用其中文全名。
       6、生产厂商名称随着厂家自身更名而更新。
       生产厂商名称(附录A.2)。
       3)产品名称
       产品名称依据生产厂商对产品的正式命名。
       1、中英文产品名称通常保留全名,英文全名各个单词间用“_”相连。
       2、对于具有官方惯用缩写且缩写不会引起名称混淆的产品名称,可以适当用英文缩写命名。
       3、产品名称同产品全名的更新保持一致。
       产品最通用或可识别的名称(附录A.3)。
       4)产品版本
       使用厂商指定的版本号(附录A.4),此处不应缩减或修改。但可以使用“*”“?”等通配符辅助描述版本号。
       5)更新版本
       更新版本反映同一产品版本下的更新情况或服务包信息,其表达往往因生产厂商和产品不同而不同,对此,一律按照生产厂家所规定的或产品自带的更新信息来表示。
       使用厂商指定的更新号或名称(附录A.5)。
       6)适用版本
       适用版本反映产品适用的对象或平台(附录A.6)。其中,缩写规则参考(附录A.8)。
       7)界面语言
       界面语言按照IETF RFC 4646 Tags for Identifying Languages中定义的语言标签来表示。(附录A.7)。
       逻辑连接符号
       出于漏洞影响实体组成的复杂性,及漏洞影响的产品和版本多样性,上面的基本描述结构不能满足部分漏洞所影响的产品。用“AND”(同时满足)、“OR”(满足任一)、“NOT”(不满足)三个逻辑连接符号连接不同的基本结构。如果结构比较复杂,则可以用小括号取优先顺序。示例参见附录A.9。
五、漏洞影响实体举例
       以下为几个产品命名示例:

产品

漏洞影响实体描述

Chinese Version of Mozilla Firefox Version 2.0 for the Mac OSX operating system

CNCPE:/a:mozilla:firefox:2.0::osx:zh-tw

CNCPE:/应用:Mozilla:火狐:2.0::osx:zh-tw

Adobe Reader 9.3简体中文版

CNCPE:/a:adobe:adobe_reader:9.3:::zh-cn

CNCPE:/应用:adobe:adobe_reader:9.3:::zh-cn

Foxmail 6.0简体中文版

CNCPE:/a:foxmail:foxmail:6.0:::zh-cn

CNCPE:/应用:foxmail:foxmail:6.0:::zh-cn

瑞星杀毒软件2010

CNCPE:/a:Rising:Rising_Antivirus:2010:::zh-cn

CNCPE:/应用:瑞星:瑞星杀毒软件:2010:::zh-cn

 

附 录 A(资料性附录)

       
A.1 部件
       
优先使用对应英文的头字母表示,目前只定义硬件、操作系统、应用程序三种部件。如表A.1所示。

       表A.1部件表示示例

部件

表示

硬件

h

操作系统

o

应用程序

a

       A.2 生产厂商
       
一个厂商存在多种名称描述。为了唯一、准确地描述厂商,使用该厂商最具知名度的域名名称。即使域名名称和厂商名称不同。表A.2给出示例。
       
A.2生产厂商表示示例

厂商全名

DNS域名

厂商描述名称

Cisco Systems,Inc.

cisco.com

cisco

The Mozilla Foundation

mozilla.org

Mozilla

腾讯公司

tencent.com

tencent

 

开发者姓名

生产厂商名

John Smith

John_Smith

张三

张三


       A.3 产品名称
       
对于英文多个单词或中文多个词组成的产品名称,用下划线代替空格。如:

adobe:flash_player:12.0.*


       如果厂商官方指定产品的缩写,则采用缩写名。如表A.3所示.
       
A.3产品表示示例

产品名称

缩略语

Internet Explorer

ie

Java Runtime Environment

jre

       A.4 产品版本
       
版本号必须是厂商指定的,如:

a:microsoft:ie:11.0.9600.16521


       在版本号中加入通配符“*”,可以用来表示一系列连续版本如:

a:microsoft:ie:11.0.*

       A.5 更新版本
       
更新包的表示方法必须和厂商官方公布的一致。如:

o:redhat:enterprise_linux:4:update4

       A.6 适用版本
       
适用版本反映产品适用的对象或平台。
       
Microsoft Windows 2000 Service Pack 4 Professional Edition的适用版本为pro。如:

o:microsoft:windows_2000::sp4:pro

       A.7 界面语言
       
只能使用表示地区和语言的代码表示。如:

a:mozilla:firefox:2.0.0.6::osx:zh-tw

       A.8 常用缩略语
       
下列是描述名称中常用的缩略语:

adv

高级的(advanced

pro

专业的(professional

srv

服务(server

std

标准(standard

ed

版本形式(edition

pl3

升级补丁3patch level 3

r3

正式版3release 3

rc2

候选发布版2release candidate 2

sp4

服务包4service pack 4

sup2

支持包2support pack 2

ga

正式发布版本(general availablity

       A.9 逻辑连接示例
       
AND”连接的基本结构必须是不同部件。
       
以操作系统为windows 7 sp1,装有IE6IE8的信息系统为例。使用通用信息系统描述后如下所示。

(a:microsoft:ie:10 OR a:microsoft:ie:11)

AND

o:microsoft:windows_7::sp1


漏洞信息快速查询