Глоссарий
Что такое CVE — общий «игровой номер» для уязвимостей
CVE присваивает каждой уязвимости уникальный идентификатор (например, CVE-2025-12345), чтобы все называли одну и ту же дыру одинаково. Как его читать, чем различаются CVE / CVSS / KEV и как независимым разработчикам реалистично за всем поспевать с помощью машинного мониторинга.
«CVE-2021-44228», «CVE-2017-5638» — номера, которыми озаглавлен каждый крупный взлом. Разберём, что это на самом деле и как независимому разработчику реалистично за этим поспевать.
Как читать номер
Идентификатор CVE состоит из трёх частей. Сам номер не несёт смысла серьёзности (это отдельная вещь).
Зачем он нужен
Уязвимости находят постоянно. Без общего имени «та дыра, которую ты имеешь в виду» и «эта дыра, которую я починил» могут оказаться разными вещами. Общий идентификатор позволяет новостям, патчам, сканерам и базам данных указывать на ровно одну и ту же уязвимость. Это отправная точка для любого исправления.
CVE против CVSS против KEV — не путайте их
Эти три ходят вместе, но отвечают на разные вопросы. Для расстановки приоритетов вы используете все три.
| Термин | На что отвечает | Пример |
|---|---|---|
| CVE | Какая уязвимость (имя) | CVE-2021-44228 (Log4Shell) |
| CVSS | Насколько серьёзно (0–10) | 10.0 (худший класс) |
| KEV | Эксплуатируется ли? | В списке эксплуатируемых → высший приоритет |
Высокий CVSS не автоматически высший приоритет
Оценка — это «теоретическое значение для наихудшего случая». На практике взвешивайте KEV (эксплуатируется ли она прямо сейчас) и используете ли вы затронутую функцию. 10.0, которой вы не пользуетесь, имеет малое воздействие; средняя оценка при активной эксплуатации — высший приоритет.
От присвоения до исправления
CVE не публикуется в тот же миг, как её нашли, — она проходит через координацию.
Обнаружение и сообщение
Зарезервировано
Опубликовано
Эксплуатируется (KEV)
Реалистичный способ поспевать
Отслеживать каждую CVE вручную невозможно, и промах превращается в инцидент. → Публичная CVSS 10.0, не замеченная месяцами
Поэтому пусть следят машины.
Частые ошибки
- Читать новости и вручную решать «наверное, нормально»
- Измерять риск по одному только тексту
package.json - «Обновлю когда-нибудь» без срока
Пусть следят машины
- Dependabot (GitHub): автоматические PR для CVE, совпадающих с вашими зависимостями
- osv-scanner (Google): проверяет ваш lock-файл в CI, одним шагом
- Судите по реально работающей версии (а не по нижней границе)
Ключ — судить по реально работающей версии: нижняя граница в package.json лжёт (это заблуждение тоже подпитало инцидент с RCE).
Читать дальше
- Глоссарий: Что такое CVSS (шкала серьёзности) · Что такое RCE
- Защита: Выстройте рутину отслеживания CVE
FAQ
QКак читать номер CVE?
Это «CVE-год-порядковый номер». Например, CVE-2025-12345 присвоен в 2025 году. Сам номер не несёт серьёзности — серьёзность выражается отдельно через CVSS. Порядковый номер не фиксирован четырьмя цифрами; он растёт по мере необходимости.
QВ чём разница между CVE, CVSS и KEV?
CVE — это имя (какая уязвимость), CVSS — оценка серьёзности 0–10 (насколько плохо), а KEV — список уязвимостей, для которых наблюдалась эксплуатация в реальном мире. Для расстановки приоритетов учитывайте KEV (атакуют прямо сейчас) так же весомо, как высокий CVSS.
QРазве отслеживание каждой CVE не невозможно для одного разработчика?
Вручную — да, и промахи превращаются в инциденты. Поэтому пусть следят машины: Dependabot (GitHub) или osv-scanner автоматически уведомят вас о CVE, которые совпадают с вашими зависимостями.