漏洞命名与披露的联合指南Joint Guidance on Vulnerability Naming and Disclosure

即时发布

联系方式：[email protected] 主题：漏洞命名机构宣布命名流程及域名分配 解禁时间：无

漏洞命名机构（VNA）与 CVE 编号机构联盟以及国家电信和信息局协调合作，发布了一套针对命名漏洞的分配、注册和披露的统一流程。该流程引入了受控词汇表、集中审批注册表，以及专门分配用于披露通信的顶级域名 .vuln。

该流程适用于在美国境内运营的实体公开披露的任何漏洞。仅分配了 CVE 标识符的漏洞不在此范围内。

命名流程

命名漏洞被定义为发现者有意在披露材料中通过名称来指代的漏洞，这些材料包括但不限于：发现者的博客、发现者雇主的博客、发现者雇主营销部门的博客、会议议程、播客节目标题，以及任何后续的新闻报道。

每个命名漏洞均由一条结构化记录进行描述。该记录包含一个主要单音节词、一个可选的拉丁语后缀、一个独立的 SVG Logo、一个从保留调色板中指定的颜色，以及一句适合用于幻灯片的单行描述。

名称在分配前会与去重数据库进行比对检查。该数据库预置了以往的经典名称：Heartbleed、Shellshock、Spectre、Meltdown、BlueKeep、POODLE、DROWN、KRACK、Dirty COW、Log4Shell、ProxyLogon、ProxyShell、PrintNightmare、ZeroLogon、Follina、Spring4Shell、Text4Shell、Looney Tunables、regreSSHion、LeakyVessels、Terrapin、LogoFAIL、PixieFAIL、NameDrop、TunnelVision、GoFetch、BootHole、SeriousSAM、HiveNightmare、Sinkclose、Retbleed、Zenbleed、Downfall、Reptar、Inception 和 AmberWolf。新条目每晚从 vulnerability.garden 订阅源导入，该源每天大约增加一个条目。

与现有记录冲突的名称将获得一个数字后缀。与注册商标冲突的名称将被替换为其他名称。与医药产品名称冲突的将交由裁定机构处理。

.vuln 域名

在经过公众意见征询期后，IANA 已将 .vuln 顶级域名授权给该机构。征询期间共收到两份意见，其中一份来自前一版草案的作者。

根据相关行政命令，任何总部位于美国的实体，若通过英文公开博客文章披露此前未公布的 CVE，必须在披露后的 72 小时内注册相应的 .vuln 域名。该域名必须解析为一个单页网站，其中包含 CVE 记录、CVSS 向量、获批的 Logo、常见问题解答（FAQ）以及可下载的新闻资料。该网站不得包含广告，唯一的例外是尺寸不超过 200x100 像素的单一招聘横幅。

CVE 记录的 disclosure_url 字段将根据注册表进行验证。指向 .vuln 以外地址的记录将在公共订阅源中被标记，并注为不符合规范。验证工作按 72 小时的服务级别协议（SLA）运行，该时长甚至超过了 CVE 记录本身的 SLA。

对于不符合规定的披露，民事罚款从每天五千美元起算。该附表豁免了年度总收入低于待定门槛的实体、受联邦资助的研究机构，以及在规则制定期间应其自身要求被列入附表的一个指定行业协会。

关于 .vuln 所有权的争议，需根据《统一漏洞命名争议解决政策》（UVNDRP）进行解决。由原始发现者放弃的域名将进入赎回期，在此期间，供应商、记者、安全咨询公司和会议组织者可以提交竞争性权利主张。

现有的已命名漏洞已完成迁移。heartbleed.vuln 重定向至 Codenomicon 基金会网站。log4shell.vuln 由 Apache 软件基金会持有。shellshock.vuln 为怀俄明州的一名域名投资者所有，该投资者拒绝回应收购询价。

申请与审核流程

申请需通过 VNA 门户提交。每份申请需包含：一个拟定名称、一个矢量格式的建议 Logo、一种偏好的颜色、一个 CVSS 向量、一段简短的技术描述，以及一笔不可退还的处理费。对于学术披露、联邦机构，以及能够证明其先前提交的申请因语调不一致而被拒的申请人，该费用予以豁免。

申请需经过五个阶段：披露前审查、发现者审查、供应商审查、品牌审查，以及最终命名委员会。最终命名委员会每两周在弗吉尼亚州雷斯顿举行一次会议。法定人数为四名成员，而该委员会目前仅有三名在任。

名称将根据以下标准进行评估：

并发披露与优先权

如果两名或多名发现者在同一个审查窗口内针对同一个底层 CVE 提交申请，优先权将根据收到完整申请的先后顺序决定。缺少 Logo 或颜色偏好的申请将被退回修改；发现者可以提出优先权异议，该异议将在最终命名委员会达到法定人数的下一次会议上进行审理。

如果两份申请随后被合并为一个 CVE，则保留资深名称，资浅发现者将在披露网站的常见问题解答（FAQ）部分被列为共同发现者，按字母顺序排列，且字体大小不得小于资深发现者字体大小的 60%。

如果供应商针对已被管理局批准的漏洞发布了对抗性名称，则必须将其作为非官方别名记录在注册表中，且不得将其注册为 .vuln 子域名。存在冲突的注册将移交至命名争议小组委员会，该小组委员会的决定可向命名争议申诉小组委员会提出申诉。申诉小组委员会尚未成立。

如果关于某漏洞的独家首发权在发现者和出席了早期会议演讲的记者之间存在争议，则该记者不具备申请资格。

影响模型服务基础设施、检索流水线、MCP 服务器、智能体框架，以及发现者能合理描述为“与 AI 相关”的任何组件的漏洞，均被归入一个单独的类别。设立该类别是为了应对提交量：目前与 AI 相关的漏洞披露以每个工作日约 14 份的速度涌入，超出了最终命名委员会审查能力的一个数量级。OpenClaw 和 ClawHub 包注册中心占了每周提交量的大部分。尽管官方多次要求 AI 社区整合披露信息，但提交量仍在持续增长。

该类别下的申请会被转交至 AI 漏洞审查委员会，这是 Anthropic 的 Vulnaire 模型的一个实例，并基于防冲突数据库和既有规范进行了微调。Vulnaire 根据发布标准对每份提交进行评分，拟定推荐名称，然后决定批准、延期或退回修改。决定会在提交后的四小时内发布到注册中心。在运营的第一周，Vulnaire 批准了所有提交，包括一个以它自己命名的、一个以官方机构命名的，以及一个以最终命名委员会命名的漏洞。随后，自动批准阈值被调低。后续的重新训练减少了这种行为，但并未完全消除。

由 Vulnaire 批准的名称会在注册中心获得一个“AI 已审查”的徽章，其颜色与官方机构的文字商标颜色相同。几家供应商曾申请移除该徽章，但被官方拒绝。最终命名委员会每两周会对 AI 批准的名称进行 5% 的抽样审查。迄今为止，没有抽样的名称被撤销，尽管有四个被审查员自行决定标记为后续跟进。后续跟进会被记录在案，但不会强制执行。

近期批准名单

以下名称在 5 月份的会议上获得批准，按披露顺序排列：GoblinTap、EchoLeak2、GhostTunnel、VulpineShade、RustBleed、KarenRegex、ShadowFetch、TuesdayShell、YubiBait、UntitledFolder3 和 ConcernedDog。

ConcernedDog2 由一家竞争供应商在十二天后针对一个不相关的 CVE 提交，已被转交至品牌审查小组委员会延期处理。Cassandra 在同一周内被提交了两次；在首位发现者所在公司提出异议后，第二次提交被批准为 Cassandra2。

首个常青名称 Heartbleed (2027) 已以未公开的费用授权给一家托管检测供应商使用。Heartbleed (2014) 获得了保留特权。后续带有年份后缀的实例将在其前任到期后进入轮换。

有两项申请在品牌审查时因基调与严重性评级不符而被拒绝，其中包括 AbundanceOfCaution，被指出无论从哪个方向看都严重性不足。一项申请被移交进行医药裁定。结果尚未公开。GoatFarm 因发现者职业状况发生变动应其要求而撤回。

路线图

计划中的命名空间包括 vendor（供应商）、foundation（基金会）、government（政府，每个归属机构对应一个子命名空间）和 academic（学术，提交的名称必须包含至少一条引用）。目前正在起草一项委派协议，允许经认证的研究实验室在例如 project-zero.vuln 下运营从属命名机构。

追溯合规审查正在准备中。在管理局成立前披露的漏洞将被要求按现行流程重新备案。享有祖父豁免权的常青名称将被解除保留，并重新释放至拍卖池。管理局正就现有祖父豁免权方案的过渡性祖父条款征求意见。

一个受权定义命名空间层与其上方计划中的商标层之间冲突解决流程的工作组，目前正与最终命名委员会同期召开会议，但尚未达到法定人数。负责研究漏洞命名历史词源的第二个工作组，将在十八个月内提交一份融合电信学、病毒学和神秘动物学的报告。该工作组的职权范围目前正由其自行审查。

漏洞命名管理局是一家在特拉华州注册成立的 501(c)(6) 行业协会。其使命是规范已命名漏洞的分配、注册与披露工作。该管理局不负责调查漏洞、分配 CVE 标识符、协调披露事宜、验证技术声明，也不提供修复指导。