提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

为了减少使用耸人听闻和可怕的漏洞名称，CERT/CC团队启动了一个Twitter bot，它将为每个接收到CVE标识符的安全漏洞分配随机和中立的名称https://twitter.com/vulnonym“target=”noopener noreferrer“data component=”externalLink“>Vulnonym，该机器人由卡内基梅隆大学的CERT协调中心（CERT/CC）运营，该中心是第一个CERT团队，现在是DHS官方US-CERT团队的合作者和合作伙伴。

这个机器人的想法是在围绕“漏洞是否应该有名称”这一主题展开的似乎无休止的讨论之后产生的

漏洞名称的问题

几十年来，所有主要的安全漏洞都被MITRE公司分配了一个CVE标识符。此ID的格式通常为CVE-[YEAR]-[NUMBER]，如CVE-2019-0708。

这些CVE ID通常被安全软件用于识别错误、跟踪和监控漏洞，以用于统计或报告目的，而CVE ID很少被人类以任何有意义的方式使用。

多年来，一些安全公司和安全研究人员意识到，他们识别重要漏洞的工作很容易在一串CVE数字中丢失，几乎每个人都很难记住这些数字。

公司和研究人员意识到，如果错误听起来很酷，他们发现的漏洞更有机会脱颖而出因此，“bug命名”的实践应运而生，最著名的例子是Spectre，崩溃，肮脏的奶牛，Zerologon，心血，BlueKeep，BLESA，签名，模糊，DejaBlue，或舞台亮度

，但随着时间的推移，一些漏洞名称开始偏离对安全漏洞的描述，进入了恐慌和寻求关注的领域，成为一个市场营销高手。

去年，思科的一个bug被命名为三个cat emojis，使用的口头术语是Thrangrycat（又名“三只愤怒的猫”）。

过去的多年来，每当一个安全漏洞被揭露时，许多安全专家就开始用尖刻和嘲笑的态度来回应，而这个漏洞也有一个名字。

一些主要的漏洞被淡化了，仅仅因为这个漏洞被命名了，虽然看似无法开发的虫子被大肆宣传，却受到了太多媒体的关注，仅仅是因为它们是用名字、网站、logo发布的，有时甚至还带有主题曲。

是的，漏洞的名称应为

，但应在a上周五的博客文章中，CERT/CC团队决定提出一个解决方案，对漏洞命名进行排序。他们的答案是Vulnonym机器人，它将以形容词名词的形式为每个新分配的CVE ID分配一个两个单词的代号。

“不是每个命名的漏洞都是严重的漏洞，尽管有些研究人员希望你这么想，”Leigh Metcalf说，我们不应该在这个过程中有令人鼓舞的弱点

梅特卡夫认为，人类天生就需要容易记住的术语来描述安全漏洞，因为“人类没有很好的条件去记住数字”，比如CVE ID中使用的数字。

她把这种情况比作域名的形成，因为人类最有可能记住谷歌而不是四位数的IP地址这个谷歌网站是托管的。

“我们的目标是创建一个中立的名称，为人们提供一种方法来记住漏洞，而不暗示所讨论的特定漏洞有多可怕（或不可怕），“梅特卡夫说。

如何通过注册来启用Chrome的秘密新的Read Later功能

，您同意
2023-03-22 10:04:22