FAQ

Gli identificativi CVE sono assegnati da un'organizzazione americana senza scopo di lucro chiamata MITRE Corporation, che gestisce il programma CVE per conto della Cybersecurity and Infrastructure Security Agency (CISA). MITRE non distribuisce da sola tutti gli identificativi: si affida a una rete di partner chiamati CNA (CVE Numbering Authorities).

Un CNA può essere un produttore di software, un fornitore di sicurezza, un CERT o un'organizzazione specializzata in vulnerabilità. Ogni CNA è autorizzato ad assegnare identificativi CVE per le vulnerabilità scoperte nei propri prodotti o nel proprio ambito. Questo sistema permette di accelerare la segnalazione delle falle mantenendo una struttura centralizzata tramite MITRE.

Il punteggio CVSS è generalmente definito dall'organizzazione che pubblica la vulnerabilità, spesso un CNA (CVE Numbering Authority) o l'editore del software interessato. Inoltre, entità come il NVD (National Vulnerability Database) ricalcolano o modificano a volte i punteggi per garantire una coerenza tra i CVE pubblicati.

Strumenti automatizzati consentono anche a ricercatori indipendenti, analisti SOC o fornitori di sicurezza di ricalcolare un punteggio sulla base del vettore CVSS pubblicato. Ciò significa che uno stesso CVE può avere diversi punteggi leggermente differenti a seconda del contesto e del valutatore, il che spinge a incrociare le fonti per le decisioni critiche.