【名詞解釋】CNA - CVE 編號授權/編號發放單位 CNA 是 CVE Numbering Authority 的縮寫,中文可以理解成**「CVE 編號授權/編號發放單位」**。 白話版 CNA 就是被官方授權可以: 分配 CVE 編號 撰寫/提交該漏洞的官方描述與資料 所以很多 CVE 是由各大廠或重要開源組織自己登記的。 你會在哪裡看到 CNA 在 NVD 或 CVE 詳細頁常會看到: CNA: Microsoft / Google / Apple / Meta / Red Hat / Debian... 代表這顆 CVE 是由哪個單位負責登錄與提供初始資訊。 為什麼重要 可信度與速度: 原廠/專案當 CNA 往往最了解影響範圍與修補版本。 你在看 CVSS 時要注意: 可能會先看到 CNA 提供的分數, 稍後才補上 NVD/NIST 的評分。 一句話總結 CNA = 被授權負責「發 CVE 編號 + 提交漏洞官方資訊」的單位。