CCE还在用吗？

Question

显然，CVE被广泛地用于指特定的漏洞。然而，我不认为CCE在配置方面有太多的参考价值。我知道配置设置是非常静态的，但是CCE页面自2013年以来就没有更新过。话虽如此，但：

1. CCE还在用吗？
2. NIST是否放弃了这一举措，因为它自2013年以来就没有被触及过？
3. 是否有类似的措施？

Answer 1

配置设置可能是静态的，但是新平台一次又一次地被引入，您将需要特定于这些平台的配置设置。可悲的是，CCEs的扩张速度与CVEs不同。

1) CCE还在使用吗？

是的，独联体的基准仍然使用CCEs作为参考。几个政府和相关组织依靠独联体基准来监测其配置，因此我要说，CCEs仍然在使用。

2) NIST是否放弃了这一举措，因为它自2013年以来就没有被触及过？

正如您在本网站上所看到的，在CCEs方面发生了一些活动。但是新一代CCEids已经有一段时间没有出现了。

( 3)是否有类似的措施？

如果您在配置枚举中寻找特定的配置，那么我不知道，但是市场上有几种不同的配置标准，您可以查看。谈到枚举系统，我想到了CVE (公共漏洞枚举)、CPE(公共平台枚举)等。

Answer 2

顺猫是商业化的，但对于大多数Linux和Unix配置和服务来说，它确实是主要的游戏。它支持CCE。

对于Windows，尤其是端点工作站，请参见-- https://adsecurity.org/?p=3299 --然而，微软并不使用CCEs，而是使用它们自己的分类法。另一个部分免费的工具(包括商业插件和功能)是LunarLine AirLock，它基于DISA。