Documentation/translations/zh_CN/process/cve.rst
Source file repositories/reference/linux-study-clean/Documentation/translations/zh_CN/process/cve.rst
File Facts
- System
- Linux kernel
- Corpus path
Documentation/translations/zh_CN/process/cve.rst- Extension
.rst- Size
- 5206 bytes
- Lines
- 90
- Domain
- Support Tooling And Documentation
- Bucket
- Documentation
- Inferred role
- Support Tooling And Documentation: documentation
- Status
- atlas-only
Why This File Exists
Repository support layer: documentation, build tooling, samples, user-space helper tools, generated initramfs support, licenses, and validation utilities.
- Repository support layer: documentation, build tooling, samples, user-space helper tools, generated initramfs support, licenses, and validation utilities.
Dependency Surface
- No C-style include directives detected by the generator.
Detected Declarations
- No top-level syscall, struct, function, initcall, or export declaration detected by the generator.
Annotated Snippet
.. include:: ../disclaimer-zh_CN.rst
:Original: Documentation/process/cve.rst
:Translator: Dongliang Mu <dzm91@hust.edu.cn>
====
CVEs
====
Common Vulnerabilities and Exposure (CVE®) 编号是一种明确的方式来
识别、定义和登记公开披露的安全漏洞。随着时间的推移,它们在内核项目中的实用性
已经下降,CVE编号经常以不适当的方式和不适当的原因被分配。因此,内核开发社区
倾向于避免使用它们。然而,分配CVE与其他形式的安全标识符的持续压力,以及内核
社区之外的个人和公司的持续滥用,已经清楚地表明内核社区应该控制这些CVE分配。
Linux内核开发团队确实有能力为潜在的Linux内核安全问题分配CVE。CVE的分配
独立于 :doc:`安全漏洞报送流程</process/security-bugs>`。
所有分配给Linux内核的CVE列表都可以在linux-cve邮件列表的存档中找到,如
https://lore.kernel.org/linux-cve-announce/ 所示。如果想获得已分配
CVE的通知,请“订阅”该邮件列表。要获得分配的CVE通知,请订阅该邮件列表:
`订阅 <https://subspace.kernel.org/subscribing.html>`_。
过程
=======
作为正常稳定发布过程的一部分,可能存在安全问题的内核更改由负责CVE编号分配
的开发人员识别,并自动为其分配CVE编号。这些CVE分配会作为经常性的通告经常
发布在linux-cve-announce邮件列表上。
注意,由于Linux内核在系统中的特殊地位,几乎任何漏洞都可能被利用来危害内核
的安全性,但是当漏洞被修复后,利用的可能性通常不明显。因此,CVE分配团队过于
谨慎,并将CVE编号分配给他们识别的任何漏洞修复。这就解释了为什么Linux内核
团队会发布大量的CVE。
如果CVE分配团队错过了任何用户认为应该分配CVE的特定修复,请发送电子邮件到
<cve@kernel.org>,那里的团队将与您一起工作。请注意,任何潜在的安全问题
不应被发送到此邮箱,它仅用于为已发布的内核树中的漏洞修复分配CVE。如果你觉得
自己发现了一个未修复的安全问题,请按照 :doc:`安全漏洞报送流程
</process/security-bugs>` 发送到Linux内核社区。
Linux内核不会给未修复的安全问题自动分配CVE;只有在安全修复可用且应用于
稳定内核树后,CVE分配才会自动发生,并且它将通过安全修复的Git提交编号进行
跟踪。如果有人希望在提交安全修复之前分配CVE,请联系内核CVE分配团队,从
他们的一批保留编号中获得相应的CVE编号。
对于目前没有得到稳定与长期维护内核团队积极支持的内核版本中发现的任何问题,
都不会分配CVEs。当前支持的内核分支列表可以在 https://kernel.org/releases.html
上找到。
被分配CVE的争论
=========================
对于为特定内核修改分配的CVE,其争论或修改的权限仅属于受影响子系统的维护者。
这一原则确保了漏洞报告的高度准确性和可问责性。只有那些具有深厚专业知识和
对子系统深入了解的维护人员,才能有效评估内核漏洞的有效性和范围,并确定其适当的
CVE指定策略。在此指定权限之外,任何争论或修改CVE的尝试都可能导致混乱、
不准确的报告,并最终危及系统。
无效的CVE
============
如果发现的安全问题存在于仅由某Linux发行版支持的Linux内核中,即安全问题是
由于Linux发行版所做的更改导致,或者Linux的发行版内核版本不再是Linux内核
社区支持的内核版本,那么Linux内核CVE团队将不能分配CVE,必须从Linux
发行版本身请求。
内核CVE分配团队以外的任何团队对Linux内核支持版本分配的CVE都不应被
视为有效CVE。请通知内核CVE分配团队,以便他们可以通过CNA修复措施使
这些条目失效。
Annotation
- Atlas domain: Support Tooling And Documentation / Documentation.
- Implementation status: atlas-only.
Implementation Notes
- This generated page is the file-by-file coverage layer; curated subsystem chapters should link here when they synthesize a multi-file control flow.
- Core OS pages should be promoted from atlas-only to deep-reviewed when they explain data structures, invariants, locking, lifecycle, and C implementation snippets.
- Driver-family pages are intentionally pattern-oriented unless they are part of the selected PCIe/NVMe representative device path.