独家供稿：移动Labs

在初涉江湖中，我们提到了几个概念，在这里我们专门解释一下。

    1、MSxx-xxx表示的是微软针对某些安全威胁而发布的一个安全公告，其中xx-xxx表示公告的编号，如MS12-075，我个人理解是2012年发布的第75份安全公告；仅为个人臆测，没经微软确认；

    2、KBxxxxxxx表示微软发布的某个补丁，其中xxxxxxx七个数字表示补丁编号；

    3、CVE-xxxx-xxxx表示在美国国家漏洞库中收录此漏洞时给出的编号，如CVE-2012-2530，表示2012年收录的第2530个漏洞。

    下面我们重点介绍介绍一下CVE，下面的具体内容来自百度百科，我只是提炼了一下，方便大家理解。

    CVE的英文全称是“Common Vulnerabilities & Exposures”公共漏洞和暴露，其访问网址为：http://cve.mitre.org。我们可以把它理解为记录并描述各种漏洞信息的一个庞大的 字典，为广泛认同的某个信息安全漏洞或者已经暴露出来的某个弱点给出一个公共的名称，帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据。

    举个例子来说，“青蛙”这种两栖动物在中国官方普通话中叫青蛙，而有的地方叫蛙，有的地方叫田鸡，甚至在安徽庐江一带叫看巴(方言音kan ba)，广东广州荔湾区一带叫波动（方言音bo dong）；而在日本叫カエル，在英美国家叫Frog，在德国叫Frosch，在葡萄牙叫sapo；其实都是指四条腿的青蛙，却发现大家叫法都不相同，甚 是不便，于是有人出来一统江湖，将这种四条腿的两栖动物命名为青蛙（只是一个美好愿望），凡是大家对此动物命名或描述有歧义的，都以中文“青蛙”为准。 CVE就相当于漏洞分析领域的“青蛙”。

CVE具有如下特点：
    为每个漏洞和暴露确定了唯一的名称；
    给每个漏洞和暴露一个标准化的描述；
    不是一个数据库，而是一个字典；
    任何完全迥异的漏洞库都可以用同一个语言表述；
    由于语言统一，可以使得安全事件报告更好地被理解，实现更好的协同工作；
    可以成为评价相应工具和数据库的基准；
    非常容易从互联网查询和下载；
    通过“CVE编辑部”体现业界的认可。

    CVE从1999年9月建立以来，到2012年11月，供收集整列了53579条漏洞信息，并被全世界的通信厂商、计算机厂商、安全厂商等奉为漏洞安全分析的武林盟主。

    无独有偶，咱们国内也有两个号称都是国家级的漏洞库：CNVD和CNNVD。

    1、CNVD
    英文全称是China National Vulnerability Database，中文名是国家信息安全漏洞共享平台。是由国家计算机网络应急技术处理协调中心（简称CNCERT）联合国内重要信息系统单位、基础电信 运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库，漏洞编号规则为CNVD-xxxx-xxxxx。截至2011年9月30 日，CNVD共收录33448个漏洞，其中高危漏洞14699个，验证远程可利用的有8515个，0day漏洞个数1236个，补丁个数4974个。

    2、CNNVD
    全称是China National Vulnerability Database of Information Security，简称CNNVD，中文名是中国国家信息安全漏洞库，漏洞编号规则为CNNVD-xxxxxx-xxx。是中国信息安全测评中心为切实履 行漏洞分析和风险评估的职能，负责建设运维的国家信息安全漏洞库，为我国信息安全保障提供基础服务。截止2012年11月，CNNVD共收录了56202 条漏洞信息，其中高危漏洞3232个。

    如果你要问我这两个漏洞库和CVE有啥区别，我真的不知道。但我知道我这个帖子是天下文章一大抄。

    江湖上从来不缺少帮派，缺少的是真挚的兄弟情义！


本博文发表在移动Labs的文链是：http://labs.chinamobile.com/mblog/234/189007


【相关博文】
漏洞及扫描技术（一）初涉江湖
一个史上Apache高危漏洞的回光返照
【精彩推荐】
大家都说要营业厅要体验式营销，到底该如何做?
如何挑选安全合格的手机电池?
NFC近场支付(手机钱包)与微信二维码020模式相比，哪一种技术在未来会发展的更好?
新浪微博的新版增加了太多的广告位，这会影响到用户的体验么?
2013年对苹果9个期待：苹果TV和廉价版的iPhone
“双XX” 多功能智能手机盘点
如何进行年度营销规划ppt
Lumia 920需求量大增 你觉得诺基亚能就此翻身吗
移动应用的十项设计原则及小提示