CVE ID 请求

对于任何公开项目，您都可以请求一个 CVE 标识符（ID）。

CVE 标识符被分配给已公开披露的软件漏洞。GitLab 是一个 CVE 编号授权机构（CNA）。

为您项目中的漏洞分配 CVE ID 有助于您的用户保持安全和知情。例如，依赖项扫描工具 可以检测到何时使用了您项目的易受攻击版本作为依赖项。

常见的漏洞处理流程是：

1. 为漏洞请求一个 CVE。
2. 在发布说明中引用分配的 CVE 标识符。
3. 在修复版本发布后公开漏洞的详细信息。

先决条件

要提交 CVE ID 请求，必须满足以下先决条件：

• 项目托管在 GitLab.com 上。
• 项目是公开的。
• 您是项目的维护者。
• 漏洞的问题被设置为保密。

提交 CVE ID 请求

要提交 CVE ID 请求：

1. 转到漏洞的问题页面，然后选择 创建 CVE ID 请求。这将打开 GitLab CVE 项目 的新问题页面。

   

2. 在 标题 框中，输入漏洞的简要描述。

3. 在 描述 框中，输入以下详细信息：

   • 漏洞的详细描述
   • 项目的供应商和名称
   • 受影响的版本
   • 已修复的版本
   • 漏洞类别（一个 CWE 标识符）
   • 一个 CVSS v3 向量

   

当发生以下情况时，GitLab 会更新您的 CVE ID 请求问题：

• 您的提交被分配了一个 CVE。
• 您的 CVE 已发布。
• MITRE 已收到您的 CVE 已发布的通知。
• MITRE 已将您的 CVE 添加到 NVD 提要中。

CVE 分配

CVE 标识符分配后，您可以根据需要引用它。在 CVE ID 请求中提交的漏洞详细信息将根据您的时间表发布。