CPE规范 CPE字典 搜索
CPE的家 通用平台枚举:一个结构化的命名方案系统、平台和包
- CPE的网站是“存档”状态看了这则公告

CPE规范——存档

CPE发布了2.3版本美国国家标准与技术研究院(NIST)2011年8月。CPE v2.3也包含在NIST的1.2版本安全内容自动化协议(SCAP)标准。CPE v2.3取代CPE v2.2, 2009年3月被释放。(注意:NIST继续提供支持CPE v2.2-conformant字典)。

CPE Version 2.3离开明显从过去的CPE的CPE标准分解成一系列单独的规范组织栈:命名,名称匹配字典和语言。命名是堆栈的基础,每个规范建立在那些之前。

CPE 2.3版本

简要概述四CPE v2.3规范包括如下,或去下载部分下载个人规范文档和CPE v2.3参考实现。

命名

CPE 2.3命名规范定义了标准化的方法来分配IT产品类名称。一个例子如下名称代表微软Internet Explorer 8.0.6001β:

wfn: [=“a”,部分供应商=“微软”=“internet_explorer”产品,
version = " 8 \ 0 \ .6001”,更新=“测试版”]

这种命名方法被认为是一个格式良好的CPE的名字(WFN)。它是一个抽象的逻辑结构。CPE的命名规范定义了程序绑定WFNs机器可读的编码,以及回到WFNs解脱这些编码。的一个绑定,称为统一资源标识符(URI)绑定,包括在CPE 2.3向后兼容CPE(参见2.2CPE存档)。上面的URI WFN的绑定表示是:

cpe /:微软:internet_explorer: 8.0.6001:β

官方CPE字典发布和维护由NIST包含一个权威的URI绑定表示枚举CPE的名字。

第二绑定中定义CPE 2.3称为格式化字符串绑定。它有一个不同的URI语法比绑定,它还支持附加的产品属性。格式化字符串绑定,WFN上面可以表示为以下几点:

cpe: 2.3::微软:internet_explorer: 8.0.6001:β:*:*:*:*:*:*

WFN概念和定义的绑定CPE命名规范的基本构建块所有CPE的核心功能。

CPE 2.3命名规范文档和CPE参考实现

下载2.3小节下载整个CPE命名规范文档,NIST IR 7695。也可以是横切的zip文件CPE参考实现的程序中指定绑定和解脱WFNs NIST ir - 7695。

回到顶部

匹配

CPE 2.3名匹配规范定义了一个方法进行一对一的比较源CPE名字目标CPE的名字。通过逻辑比较CPE名称的值,CPE的名字匹配的方法可以确定组公共关系。例如,CPE的名字匹配可以确定源和目标的名字是相等的,如果一个人的名字是其他的一个子集,或者名称都是不相交的。

CPE的名字匹配的值的一个例子是在确定如果一个特定的产品安装在一个系统。假设一个组织是识别系统有任何变化的Microsoft Internet Explorer 8安装。这可以用下面的格式良好的CPE表示名称(WFN):

wfn: [=“a”,部分供应商=“微软”=“internet_explorer”产品,
version = " 8 \。*”、更新=任何版=,=任何语言)

一个资产管理工具软件安装在一个系统上可以收集信息并比较其Internet Explorer安装上面的WFN特征。假设特定的安装实例WFN Internet Explorer被报道:

wfn: [=“a”,部分供应商=“微软”=“internet_explorer”产品,
version = " 8 \ 0 \ .6001”,更新= NA版= NA,语言=“en \ -美国”]

WFNs使用这两个例子,CPE的名字匹配方法进行两两比较的属性值在第一与第二(源)WFN WFN(目标),产生的列表设置每一对关系属性(例如,相同的情况下,超集)。这个列表比较结果的评估,导致决心第一第二WFN WFN代表的超集。这可以被解释为意味着系统检查确实安装了微软Internet Explorer 8的变异。

尽管这可能看起来像一个小例子,CPE的名字匹配是一个强大和灵活的方式进行产品比较标准化,自动化的方式。CPE的名字匹配也使用其他CPE规范进行更复杂的任务,如在CPE字典搜索产品名称和执行复杂的比较集产品版本的示例中,确定一个系统正在运行一个特定的操作系统版本,运行两个应用程序,而不是运行第三个特定的应用程序。

CPE 2.3名称匹配的规格

下载2.3小节下载整个CPE命名匹配规范文档,NIST ir - 7696。

回到顶部

字典

CPE 2.3字典规范定义了一个标准化的方法来创建和管理CPE字典。一个字典是CPE的名字和元数据的存储库的名字。字典中的每个CPE的名字标识一个类的产品在世界上。“阶级”这个词在这里意味着对象确定不是一个物理系统上的实例化的产品,而是产品的抽象模型。尽管组织可以使用CPE的名字来表示一个类或一组多个产品类产品,CPE字典只存储绑定形式的格式良好的CPE的名字(WFNs),确定一个产品类,不是一组产品类。这些单身product类WFNs绑定形式被称为标识符名称。WFN及其约束形式的一个例子如下所示。

WFN:
wfn: [=“o”,部分供应商=“微软”,产品=“windows_vista”、6 \ version = "。0”、更新= " sp1 ",语言= NA版= NA sw_edition = " home_premium”、target_sw = NA target_hw = " x64”,其他= NA]
WFN绑定到一个URI:
cpe / o:微软:windows_vista: 6.0: sp1: ~ - ~ home_premium ~ ~ x64 ~ -
WFN绑定到一个格式化的字符串:
cpe: 2.3: o:微软:windows_vista: 6.0: sp1: -: -: home_premium:——: x64: -

官方CPE字典

NIST主办官方CPE字典标识符名称的权威的存储库。官方权威的本质CPE字典使组织能够搜索并找到标识符的名字在一个集中的地方而不用担心联邦字典处理之间的冲突。

其他CPE字典

组织可以创建他们自己的扩展CPE字典,用于存储标识符的名字没有出现在官方CPE字典。有几个原因扩展字典是必要的。例如,一个组织可能需要创建标识符名称只有该组织内部的有用的专利产品,如内部开发的软件没有找到以外的组织。另一个可能的原因是,一个公司可能想使用标识符未释放的产品还没有官方标识符名称;一旦标识符名称已经企稳,公司将向官方提交他们CPE字典。

添加新的CPE标识符的字典

一个组织可能会发现在使用新产品,还没有官方标识符;组织可以创建标识符,将它们添加到自己的扩展字典,提交他们的包容官方CPE字典内部,并使用他们在等待他们的官方CPE字典。

看到CPE字典页面在这个网站上提交流程的概述。

CPE 2.3字典规范

下载2.3小节下载整个CPE字典规范文档,NIST ir - 7698。

回到顶部

应用语言

CPE 2.3适用性语言规范定义了一个标准的方法来描述这平台通过形成复杂的逻辑表达式的个人CPE名称和引用检查。例如,一个可以用CPE 2.3适用性语言结合CPE的名字一个操作系统(例如Microsoft Windows XP)、CPE的名字,操作系统上运行的应用程序(如微软Office 2007),和一个引用一个检查一个特定值的某些配置设置(如无线网卡中启用操作系统)。这些逻辑表达式适用性语句,因为他们是用来指定特定的平台指导、政策等应用。适用性语句可以使用工具来确定目标系统的一个实例是一个特定的平台。

使用的CPE的名字CPE 2.3适用性语言规范绑定形式的格式良好的CPE的名字(WFNs),抽象逻辑结构CPE的名字。2.3的基本构建块CPE适用性语言规范被称为逻辑测试。这是一个逻辑连接(和)或分离(或一个或多个CPE)名称和/或引用检查。个人也可以否定逻辑测试(倒)。嵌套的逻辑测试允许用户表达平台的任何逻辑组合个人CPE的名字和/或引用检查。

注意,之前版本的CPE适用性语言规范称为简单语言规范。

CPE 2.3适用性语言规范

下载2.3小节下载整个CPE适用性语言规范文档,NIST ir - 7697。

回到顶部

下载

规范——2.3版本

以下CPE 2.3规范可用于查看或下载从NIST的计算机安全资源中心:

参考实现——2.3版本

斜接了CPE命名和匹配算法的参考实现,如NIST国税局所述7695年7696年。请注意,下面的ZIP文件包含一个readme。txt文件说明如何构建并运行应用程序。

回到顶部

页面最后更新:2013年3月22日