我开始从NVD XML提要转向JSON提要(因为从2019年10月起将不再支持XML)。现在,我很难理解标签及其使用目的。
例如:
“配置”中的“操作员”标签有什么用途?
“ affects”标签列出了与该CVE-ID相关的所有易受攻击的库,那么“ configuration”标签的用途是什么?因为在它们内部指定的信息似乎只是对情感标签的重复,除了cpeId可能也已经在情感标签内指定了。
我尝试在NVD网站上搜索任何此类相关文档,但找不到任何相关文档。JSON模式未提及详细信息或目的(符合预期)。
请指出是否创建了任何文档。
"nodes" : [ {
"operator" : "OR",
"cpe_match" : [ {
"vulnerable" : true,
"cpe23Uri" : "cpe:2.3:o:freebsd:freebsd:4.2:*:*:*:*:*:*:*"
}, {
"vulnerable" : true,
"cpe23Uri" : "cpe:2.3:o:freebsd:freebsd:4.3:*:*:*:*:*:*:*"
}, {
"vulnerable" : true,
"cpe23Uri" : "cpe:2.3:o:freebsd:freebsd:4.4:*:*:*:*:*:*:*"
}, {
"vulnerable" : true,
"cpe23Uri" : "cpe:2.3:o:freebsd:freebsd:4.5:*:*:*:*:*:*:*"
}, ...]
此处的运算符表示该漏洞可能出现在上述cpe23Uri的任何位置。1.“影响”列出了供应商名称,产品名称和版本详细信息。是的,考虑到配置,这是多余的。 CPE 2.3旨在借助行业的帮助来识别每个软件产品。有了冗余,您将观察到NVD已在2019年9月更改为架构。
最后,以字段描述的名义,可以在提供的模式中找到详细信息(同意,这还不够)。 https://csrc.nist.gov/schema/nvd/feed/1.1/nvd_cve_feed_json_1.1.schema(v1.1)https://csrc.nist.gov/schema/nvd/feed/1.0/nvd_cve_feed_json_1.0.schema(v1.0)