5.3 描述項

5.3.1 名稱

概括性描述洞信息的短語。采用分段式格式描述，包括固定字段和自定義字段，字段之間以“.”

漏洞相關的產品或服務.等級.類別.自定義字段1.自定義字段2……自定義字段n

前三段為固定字段，使用中英文或數字標識。其中:

a)“洞相關的產品或服務”為漏洞所存在的、正式發布的產品或服務名稱，可包含版本號信息，
例如， Internet Explorer8.0、 Chrome等。“滿洞相關的產品或服務”需與5.3.8的內容保持

b)“等級”為漏洞描述項中的“5.3.7等級”。

c)“類別”為漏洞描述項中的“5.3.6類別”。

第四段起為自定義字段，屬可選項，可增加多個。自定義字段主要用于補充描述固定字段以外的其

示例：
GNU Bash.高危.遠程代碼執行漏洞.破殼漏洞

5.3.2 發布時間

漏洞信息發布的日期。日期書寫應采用GB/T 7408-2005 中 5.2.1.1 完全表示法中的擴展格式。
格式為:YYYY-MM-DD，如2019-01-01。其中，YYYY表示一個日歷年，MM表示日歷年中日歷月的

5.3.3 發布者

“漏洞發布者”的簡稱，是發布經驗證后的漏洞信息的個人或組織。發布者以其個人標識或組織名
稱命名。“組織名稱”可以是發布者組織的正式名稱或簡稱等。漏洞發布者為個人的，可以冠以其所屬

漏洞發布者個人標識(漏洞發布者組織名稱)

發布者允許多個，中間以逗號分隔。例如:

張三(組織A)，李四(組織A，組織B)，王五，組織C。

漏洞發布應符合 GB/T 30276-2020 中 5.5 漏洞發布規定的要求。

5.3.4 驗證者

“漏洞驗證者”的簡稱，是對漏洞的存在性、等級、類別等進行技術驗證的個人或組織。驗證者以其
個人標識或組織名稱命名。“組織名稱”可以是驗證者組織的正式名稱或簡稱等。漏洞驗證者為個人

漏洞驗證者個人標識(漏洞驗證者組織名稱)

驗證者允許多個，中間以逗號分隔。例如:

張三(組織A)，李四(組織A，組織B)，王五，組織C。

漏洞驗證應符合 GB/T 30276-2020 中 5.3 漏洞驗證規定的要求。

5.3.5 發現者

“漏洞發現者”的簡稱，是發現漏洞的個人或組織。發現者以其個人標識或組織名稱命名。“個人標

漏洞發現者個人標識(漏洞發現者組織名稱)

發現者允許多個，中間以逗號分隔。例如：

張三(組織A)，李四(組織A，組織B)，王五，組織C。

漏洞發現應符合GB/T 30276-2020中 5.1 a) 的要求。

5.3.6 類別

漏洞所屬分類。給出漏洞分類歸屬的信息。類別劃分應符合GB/T302792020中第5章網絡安

5.3.7 等級

漏洞危害級別。給出漏洞能夠造成的危害程度。等級劃分應符合 GB/T 30279-2020 中 6.3.3 網絡安全漏洞技術分級規定的要求。

5.3.8 受影響產品或服務

漏洞所存在的產品或服務的詳細信息，包括供應商、名稱、版本號等內容。對于共用中間件或者組

5.3.9 相關編號

同一漏洞在不同組織中的編號，例如，CNVD編號、 CNNVD編號、CVE編號或其他組織自定義的

5.3.10 存在性說明

描述漏洞的觸發條件、生成機理或概念性證明等。

5.3.11 檢測方法

漏洞掃描或測試的方法，例如漏洞檢測代碼、程序或方法說明等。

5.3.12 解決方案

漏洞的解決方案，例如，補丁信息、修復或防范措施等。

5.3.13 其他描述

需要說明的其他相關信息。