它们很有用，只是对构建漏洞利用没有用。它们对于确定软件的漏洞程度也没有用...... CVE 的数量与代码质量没有很强的相关性。

它们的用途是，作为管理员，确定您正在使用的给定软件包的版本是否已针对特定的已知漏洞进行了修补，以及已发现漏洞的潜在影响。通过这种方式，他们可以直接将漏洞管理流程作为您可以用来确保您的组织正确管理软件安全风险的众多工具之一。

CVE 的主要用例是为软件漏洞提供唯一标识符。它不是衡量产品整体安全性的好工具，也无法帮助您深入分析错误。

您应该将 CVE 视为字典，而不是为漏洞分配标准名称的数据库，以便您可以在不同系统中明确引用它们。不要错误地假设 CVE 条目为您提供了漏洞的完整解释或影响的准确估计。

关于CVE页面清楚地表明重点是标准化：

CVE 是：

• 一种漏洞或暴露的名称
• 每个漏洞或暴露的一个标准化描述
• 字典而不是数据库
• 不同的数据库和工具如何“说”同一种语言
• 实现互操作性和更好的安全覆盖的方法
• 工具和数据库之间的评估基础

[...]

因此，CVE 并不是任何产品中所有已知漏洞的综合数据库，因为这些条目既未经第三方验证，也不一定完整。它作为概述和拥有唯一标识符最有用，您可以使用它来解决补丁或文章中的错误。

CVE 在几个方面很有用。

首先，也许最重要的是，它们为特定漏洞提供了一个通用术语。这样可以很容易地确保当有人说“你看到那个 Android 漏洞了吗”时，你说的是同一个Android 漏洞。它还极大地简化了对有关该问题的更多信息的搜索。

其次，当您点击NIST 的漏洞页面时，它包含CVSS信息，如果您熟悉阅读该符号，可以轻松快速了解修补漏洞对您的重要性。环境。

对我来说，CVE 有点像字典术语。它意味着能够通过通用枚举轻松地传达某物是什么。

您可以在https://cve.mitre.org/about/faqs.html#b4阅读更多关于它们为何以这种方式编写的信息

一个好的 CVE 是与 OpenSSL 相关的： https ://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6304

描述很简短，但该页面链接到相关参考资料，这些参考资料进一步扩展了 CVE。

在您用作示例的 CVE 中，有一个指向 Android 安全公告的链接，其中包含更多信息和安全焦点（尽管它没有提及太多）。如果有可用的漏洞利用，那么它很可能没有共享。