Linux 内核成为 CVE 编号机构 (CNA)

Linux 内核已被接受为 CVE 编号机构 (CNA)，这意味着他们将直接管理内核的 CVE。Linus Torvalds 近日在邮件列表发布了 Linux 6.8-rc5，并介绍称文档添加了 CVE 漏洞处理相关的指南。

CVE 文档页面

文档写道，Linux 内核开发团队有能力为潜在的内核安全问题分配 CVE，而分配的 CVE 编号将在 linux-cve-announce 邮件列表上公布，修复的安全漏洞才会分配 CVE 编号，未修复的不会自动分配编号。

https://lore.kernel.org/linux-cve-announce/

CVE 是通用漏洞披露 (Common Vulnerabilities and Exposures) 的英文缩写，列出了已公开披露的各种计算机安全缺陷。CVE 识别号由 CVE 编号管理机构 (CNA) 分配。

任何人都可以从任何地方进行 CVE 报告。无论是供应商、研究人员或是个人用户，都有可能发现缺陷，并促使他人予以关注。很多供应商都会提供错误报告奖励，以鼓励相关人员负责任地披露各种安全问题。

在 Linux 内核成为 CNA 之前，它无法自行管理内核的 CVE 漏洞编号分配。由于内核是系统的底层，几乎任何错误都可能被用于危害内核安全，但当错误被修复时，被利用的可能性通常不明显。过去 CNA 过于谨慎，几乎为发现或收到的任何安全漏洞分配了 CVE 编号，导致 Linux 内核团队需要花费大量时间处理许多未造成重大影响的漏洞。

因此接下来 Linux 内核中未修复的安全漏洞不会提前分配 CVE 编号，只有在漏洞被修复后才会分配 CVE 编号，这样可以通过正确的方式来追踪原始修复的 git commit ID。

延伸阅读：curl 项目已被接受为 CVE 编号机构 (CNA)