NVD:当许多CVEs没有填写CPE条目时，如何不误报查询？

Question

因此，我天真的方法是查询我使用的软件产品的CPE URI的NVD。

不幸的是，我注意到很多条目没有CPE条目。(例如，2016年有1332人没有CPE URI)。

因此，这意味着我必须通过这些关键字的grep，这是相当容易出错。

是否还有其他方法来获得软件X的所有CVEs？

Answer 1

由于您没有交付一些示例，例如:您从哪里获得CVE不提供CPE的信息--无论是基于某个平台还是某个特定供应商提供的文件。我假设您使用的是国家漏洞数据库(NVD)数据提要，无论是XML2.0还是https://nvd.nist.gov/vuln/data-feeds上的NIST提供的JSON格式，因为从NIST (NVDCVE)文件中收集的信息在CVEDetails.com中是相同的。

您声称在没有CPE的情况下有一千多个条目：

$ ls -lh
total 96136
-rw-r--r--  1 test  test    44M Aug 18 03:25 nvdcve-2.0-2016.xml
-rw-r--r--  1 test  test   2.6M Aug 20 06:57 nvdcve-2.0-2016.xml.zip
$ grep -c "\*\* REJECT \*\*" nvdcve-2.0-2016.xml
1106

如果您想知道，为什么我使用关键字“拒绝”：这是存在CVE并且找不到CPE的唯一方法。例如：

$ grep -A5 "" nvdcve-2.0-2016.xml
  
    CVE-2016-0001
    2017-05-11T10:29:55.767-04:00
    2017-05-11T10:29:55.767-04:00
    ** REJECT **  DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: none. Reason: The CNA or individual who requested this candidate did not associate it with any vulnerability during 2016. Notes: none.

我在这个问题中解释了发生这种情况的原因：CVE产品名称的分类