我们应该以CVE的形式发布我们在产品中发现的安全问题，还是只需在每周发布说明中更新这些问题？

Question

我们是一个供应商提供的产品，正在使用的企业。我们知道，那些定期使用CVE扫描他们使用的部分漏洞管理流程的产品的公司。我的问题是，如果我们自己的安全研究人员在我们的产品中发现了漏洞，或者我们可以在我们的官方网站上发布的每周安全更新中提高这个漏洞，那么我们是否需要提出一个CVE呢？

Answer 1

您可以这样做，但我建议您申请CVE，以便获得威胁情报源的客户更有可能注意到问题并加快修补程序。如果以后需要的话，分配CVE还可以更容易地引用一般通信中的特定漏洞。这也是一个信号，你的客户，你认真对待安全透明度。

CVEs由MITRE分配和管理，您可以使用CVE申请表发出请求。

Answer 2

发布CVE将很有帮助，让其他人知道更新是必要的:正如您所说，他们可以在威胁情报提要(或CVE扫描)中看到它，而不必读取每个更新的更改量来决定是否需要更新。

此外，作为一个五酯，它对我们的工作有很大的帮助。如果我们找到SAPConnectorDeluxe 4.1.39，我们首先要做的就是检查一个CVE数据库中是否存在任何漏洞。即使该软件是专有的，并且仅供少数公司使用，我们也应该知道运行该软件的风险，以便我们能够正确地向客户提供建议。

它还告诉我们发现的频率和问题类型:如果我们看到一个小型软件组件在过去一年中存在10个缓冲区溢出漏洞，我们知道开发人员没有时间将安全性包括在他们的开发过程中。在这种情况下，很可能会发现更多的漏洞，或者已经被恶意方发现。

如果软件仅在内部使用，则提交CVEs并不常见。如果我们找到自定义软件，我们会做一些分析(取决于我们有多少时间)，并建议有人更彻底地检查它的安全性。关于内部产品的信息不会对公司以外的任何人有所帮助，因此没有必要将其发布到像CVE这样的中央数据库。

Answer 3

我认为最重要的问题是你的产品是否带有自动更新。如果它在默认情况下自动更新，那么CVE有时会对你的产品造成更大的伤害而不是好处，因为它会让许多黑客意识到你的产品，而这些黑客可能根本不知道你的存在。他们可以看到你的履历，并对你的安全态势有一个很好的感觉。如果他们看到了很多修复“成熟”错误的方法，那么你的产品可能会很容易地受到那些知道如何找到那些更晦涩的东西的人的审视，否则你可能会得到足够多的运气来避免。

此外，即使你发布CVE，也不太可能修补产品，这样做弊大于利。大多数IoT设备从未被修补过，所以，CVEs只是告诉黑客哪些是容易被攻击的。

相反，如果您的产品通常需要在发布CVE时可能发生的手动更新，那么您可能应该这样做。