下一步是否正确询问并获取每个漏洞的 CVE 识别号，然后发布我的论文链接到这些 CVE？

出于礼貌，我会通知供应商您计划发布。他们可能希望首先向客户发送私人通知，让他们有时间进行更新。通常，您会在第一次联系供应商时提及这一点，但如果您不这样做，迟到总比没有好。

如果您可以通过下面描述的过程获得 CVE，那么可以，您可以将每个漏洞链接到其 CVE。您可能还希望将报告发布到邮件列表。

是否需要 CVE？

我可以发布这篇论文还是我也需要一个 CV Number

您不需要披露 CVE，但如果您可以获得 CVE，建议您这样做（您的漏洞可能不符合 CVE 的条件，例如，如果它位于 MITRE 未列出的闭源软件中，或者 MITRE 可能无法及时为您分配 CVE ）。

CVE 背后的理念是采用一种集中的方式来识别安全漏洞，从而更容易区分不同工具或漏洞数据库中的不同问题。

因此，如果可以，最好在发布之前获得 CVE，这样其他人可以轻松识别您的漏洞并避免重复分配。

如何获得 CVE（2016 年以上）

2016 年 8 月，MITRE 将其基于电子邮件的 CVE 请求流程更改为基于 Web 表单的流程。在此过程中，他们还更改了有关哪些漏洞可以直接向他们请求 CVE 的规则。

据我了解基于this document，它的工作原理是这样的：

1. 如果受影响的产品分配给CNA，则应在报告漏洞的同时向该 CNA 请求 CVE。
2. 如果没有，您可以联系 CERT/CC（我假设在披露之前）或邮件列表（在披露时）。
3. 如果受影响的产品在看似任意的软件列表中，则应在向供应商报告之后但在发布漏洞之前请求 CVE。此请求应通过MITRE CVE 网络表单进行。
4. 如果受影响的产品不在列表中，并且它是开源的，则应在发布后通过此 google 文档表单请求 CVE （如果您通过邮件列表披露，我会确保包含指向避免重复的 CVE 分配）

对于您的情况，第 1 点似乎并非如此。您可以将披露信息发送到邮件列表（第 2 点），但我不希望获得 CVE。如果供应商在 3. 中，您可以使用网络表单来请求 CVE。4. 不适用，所以如果前面的几点都不适用（例如，如果它是封闭的软件不在涵盖的产品列表中），您可能不会获得CVE。