继承易受攻击代码的下游软件需要自己提交CVE吗？

Question

漏洞可能从一个软件扩展到导入/使用该软件的下游软件项目。如果原始软件已经请求了CVE ID并向公众披露了该漏洞，那么它的下游软件是否也需要报告该漏洞，并在同一漏洞上为自己的项目请求单独的CVE ID？

这可能会导致漏洞数据库中的大量重复记录。但是，我也找不到关于CVE网站的官方语言或报告指南，它明确指出下游软件不应该报告由它们的依赖关系引起的漏洞。

例如，如果我的软件项目导入了一个暴露了漏洞的外部软件库，我是否需要为自己的软件请求一个CVE ID，并报告我曾经导入到使我的软件易受攻击的易受攻击库中的漏洞？

Answer 1

如果是这样的话，那么每次在OpenSSL中发布CVE时，就会有~zillions，其中有几个:)

因此，据我所知，在大多数情况下，任何下游软件(意思是:使用受影响组件的软件)都应该只负责发布适当的安全公告/指南，通知它受到相关CVE的影响，提供缓解和/或修补的指示等等。引用CVE ID就足够了，这就是它的目的之一。

话虽如此，我确实认为有些情况下，CVE与特定的下游组件交互时，可能会产生一个漏洞，该漏洞在其攻击表面、安全含义等方面差异很大，因此有理由创建一个新的CVE，以便适当地记录和描述新的漏洞。显然，情况基本上不是这样。

我想你可以在这里找到更多的信息：

或任何漏洞)可以相互依赖吗？

是否应该将CVE分配给应用程序，即使该漏洞位于易受攻击的第三方库中？