看了天融信的这篇文章：http://blog.topsec.com.cn/ad_lab/cve-%E7%BC%96%E5%8F%B7%E7%AE%A1%E7%90%86%E6%9C%BA%E6%9E%84cnas%E4%BB%8B%E7%BB%8D/

感觉没有解决自己的疑惑：如果所发现的漏洞在https://cve.mitre.org 有相似的例子，但却不属于18家CVE管理机构的产品。这样同时把漏洞提供给处理Linux产品问题的几家机构（如RedHat或Ubuntu），是否会对产品的厂商不太好？还请科普一下申请CVE的流程。

---

我也不是很懂，一周前在线填写的申请表单，昨天接到邮件说给我分配了cve id 不知道算不算成功，怎样才真正的申请成功了呢，怎么才能知道这个CVE 是你的呢

---

这篇文章介绍的很详细，可以参考下：

CVE申请的那些事 - FreeBuf互联网安全新媒体平台 | 关注黑客与极客?

www.freebuf.com

---

需要先熟悉cve的工作计划，【科普】不了解CVE

---

CVE-2018-20424

CVE-2018-20423

CVE-2018-20422

顺手申请了下，明天更新过程。

---

谢谢邀请，我有得到CVE的历史，但没有特意去拿CVE号的经验。

我自己找到过的漏洞分为两类，一类是国内厂商的，不在CVE的范围之内，发了poc和exp，基本上厂商就直接补掉了，也没给我CVE, 即使是迅雷和影音风暴这样的厂商

第二类就是知名厂商的，比如微软和adobe这类的厂商，这些不需要我特意申请CVE，基本上微软的漏洞公布日出来，就已经会分配特定的CVE了。

抱歉对你没太多帮助

---

MITRE最近推出了在线申请CVE表格：https://cveform.mitre.org/。我还没申过，没有经验。不过从说明来看，CNA厂商的漏洞只能通过厂商申请，其他厂商的漏洞必须是链接[3]中列表里的或开源产品，才能申CVE。如果符合这个要求，可以通过这个表格来申请CVE。

参考链接：

[1] https://cve.mitre.org/news/index.html#august292016_New_Method_to_Request_CVE_IDs_Updates_and_More_from_MITRE_in_Effect

[2] https://cveform.mitre.org/[3] https://cve.mitre.org/cve/data_sources_product_coverage.html[4] https://cve.mitre.org/docs/docs-2016/CVE_Request_Web_Form_Overview.pdf

[5] https://cve.mitre.org/docs/docs-2016/CVE_Request_Web_Form_Tip_Sheet.pdf

---

推荐阅读：

相关文章