CNNVD漏洞影响实体描述规范

一、定义
       漏洞影响实体是描述安全漏洞信息时不可或缺的一个属性项，可以分为硬件、操作系统及应用程序等不同类型（部件）。根据漏洞影响实体组成类型不同及漏洞影响产品类型不同，用基本描述结构体和逻辑连接组合来对其进行描述。
二、描述原则
       1)   通用性：能够描述所有的信息系统。
       2)   一致性：相同组成部分的描述名称必须一致。
       3)   概括性：能够概括具有某特点的一类信息系统。
       4)   结构化：拥有清晰、分块、可读性高的描述格式。
       5)   简易性：简化描述的名称和描述结构体。
三、适用范围
       凡是被CNNVD漏洞库收录的漏洞，均适用此编码语法规范,包括采集的公开漏洞以及收录的未公开漏洞。
四、漏洞影响实体描述规范
       基本描述结构
       基本描述结构是描述漏洞影响实体的命名方法，它由部件、生产厂商、产品名称、产品版本、更新版本、适用版本、界面语言等属性项组成，根据漏洞影响实体界面语言、主要应用国别等确定采用中文或英文进行描述，描述规则如下：
       CNCPE:/{部件}:{生产厂商}:{产品名称}:{产品版本}:{更新版本}:{适用版本}:{界面语言}
       CNCPE:/｛part｝:｛vendor｝:｛product｝:｛version｝:｛update｝:｛edition｝:｛language｝
       该命名规则对于其中出现的英文名称大小写不敏感。各命名元素之间以英文冒号“:”作为分隔符，无空格。若对应项没有相关信息，允许空项，直接进入下一个分隔符；若对应项不适用于该产品，则该项填“-”。下面分别对各项进行说明。
       1)部件
       部件分为三类：硬件（Hardware）、操作系统（Operating system）和应用（Application）。
       1、中文表达形式为：硬件、操作系统、应用。例如：
       CNCPE:/应用:北京智通:网际快车:3.5:::中文-台湾
       2、英文表达形式为：h、o、a。例如：
       CNCPE:/a:acme:product:1.0:update2:-:en-us
       2)生产厂商
       生产厂商名称通常采用生产厂商的注册域名进行命名。
       1、英文名称采用生产厂商所在最高组织的域名。
       2、中文名称如果有中文域名，优先采用中文域名；如果只有英文域名，采用对应英文域名的中文翻译（如有）。
       3、对于分享同一域名、不同后缀的生产厂商，采用域名的全称。
       4、对于无特定域名的中国生产厂商，命名采用营业执照上的机构名称，省略公司性质字段。
       5、对于无生产厂商的产品，生产厂商项采用开发者全名。英文单字间空格改为“_”，中文开发者采用其中文全名。
       6、生产厂商名称随着厂家自身更名而更新。
       生产厂商名称（附录A.2）。
       3)产品名称
       产品名称依据生产厂商对产品的正式命名。
       1、中英文产品名称通常保留全名，英文全名各个单词间用“_”相连。
       2、对于具有官方惯用缩写且缩写不会引起名称混淆的产品名称，可以适当用英文缩写命名。
       3、产品名称同产品全名的更新保持一致。
       产品最通用或可识别的名称（附录A.3）。
       4)产品版本
       使用厂商指定的版本号（附录A.4），此处不应缩减或修改。但可以使用“*”“?”等通配符辅助描述版本号。
       5)更新版本
       更新版本反映同一产品版本下的更新情况或服务包信息，其表达往往因生产厂商和产品不同而不同，对此，一律按照生产厂家所规定的或产品自带的更新信息来表示。
       使用厂商指定的更新号或名称（附录A.5）。
       6)适用版本
       适用版本反映产品适用的对象或平台（附录A.6）。其中，缩写规则参考（附录A.8）。
       7)界面语言
       界面语言按照IETF RFC 4646 Tags for Identifying Languages中定义的语言标签来表示。（附录A.7）。
       逻辑连接符号
       出于漏洞影响实体组成的复杂性，及漏洞影响的产品和版本多样性，上面的基本描述结构不能满足部分漏洞所影响的产品。用“AND”（同时满足）、“OR”（满足任一）、“NOT”（不满足）三个逻辑连接符号连接不同的基本结构。如果结构比较复杂，则可以用小括号取优先顺序。示例参见附录A.9。
五、漏洞影响实体举例
       以下为几个产品命名示例：

产品	漏洞影响实体描述
Chinese Version of Mozilla Firefox Version 2.0 for the Mac OSX operating system	CNCPE:/a:mozilla:firefox:2.0::osx:zh-tw CNCPE:/应用:Mozilla:火狐:2.0::osx:zh-tw
Adobe Reader 9.3简体中文版	CNCPE:/a:adobe:adobe_reader:9.3:::zh-cn CNCPE:/应用:adobe:adobe_reader:9.3:::zh-cn
Foxmail 6.0简体中文版	CNCPE:/a:foxmail:foxmail:6.0:::zh-cn CNCPE:/应用:foxmail:foxmail:6.0:::zh-cn
瑞星杀毒软件2010版	CNCPE:/a:Rising:Rising_Antivirus:2010:::zh-cn CNCPE:/应用:瑞星:瑞星杀毒软件:2010:::zh-cn

附　录　A（资料性附录）

       A.1　部件
       优先使用对应英文的头字母表示，目前只定义硬件、操作系统、应用程序三种部件。如表A.1所示。

       表A.1部件表示示例

       A.2　生产厂商
       一个厂商存在多种名称描述。为了唯一、准确地描述厂商，使用该厂商最具知名度的域名名称。即使域名名称和厂商名称不同。表A.2给出示例。
       表A.2生产厂商表示示例

       A.4　产品版本
       版本号必须是厂商指定的，如：

       A.5　更新版本
       更新包的表示方法必须和厂商官方公布的一致。如：

       A.6　适用版本
       适用版本反映产品适用的对象或平台。
       Microsoft Windows 2000 Service Pack 4 Professional Edition的适用版本为pro。如：

       A.7　界面语言
       只能使用表示地区和语言的代码表示。如：

       A.8　常用缩略语
       下列是描述名称中常用的缩略语：

       A.9　逻辑连接示例
       “AND”连接的基本结构必须是不同部件。
       以操作系统为windows 7 sp1，装有IE6或IE8的信息系统为例。使用通用信息系统描述后如下所示。