在資安自動化的世界裡,機器要能理解「這台設備是什麼」,就需要一套統一的命名語言。CPE(Common Platform Enumeration)正是這把鑰匙,讓漏洞資料庫、掃描工具與資產清單得以精準對話。
什麼是 CPE?格式解析
CPE 是由 NIST(美國國家標準技術研究院) 維護的標準化命名語法,目前主流版本為 CPE 2.3,採用 URI 結構,格式如下:
cpe:2.3:部件類型:廠商:產品名稱:版本:更新:版次:語言:SW版次:目標SW:目標HW:其他
cpe:2.3:o:microsoft:windows_10:21h2:*:*:*:*:*:x64:*其中部件類型分為三類:a(應用程式)、o(作業系統)、h(硬體設備)。萬用字元 * 代表「任意值」,- 代表「不適用」,使格式具備高度彈性。所有合法的 CPE 名稱均收錄於 NIST 官方維護的 CPE Dictionary,可透過 NVD API 查詢與驗證。
CPE 在漏洞管理中的實戰角色
CVE 漏洞資料庫中,每筆漏洞記錄都透過 CPE 標識受影響的平台範圍。當企業完成資產盤點並為每項資產標記 CPE 後,即可自動比對 NVD 資料庫,精準篩出與自身環境相關的漏洞,大幅降低人工比對成本。這正是 SBOM(軟體物料清單) 與弱點掃描工具(如 OpenSCAP、Tenable)的核心運作機制。CPE 作為資產的「數位身分證」,是整個自動化漏洞管理流程的起點。
💡 重點整理
- 標準制定者:NIST 維護,版本 2.3 為現行主流,收錄於 NVD CPE Dictionary。
- 三大部件類型:a(應用)、o(作業系統)、h(硬體),涵蓋所有 IT 資產。
- 漏洞自動比對:CVE 條目內嵌 CPE,實現資產與漏洞的機器可讀精準對應。
- 生態整合廣泛:SBOM、OpenSCAP、Tenable 等主流工具均以 CPE 為核心識別基礎。
CPE 不只是命名規則,而是資安自動化的共通語言基礎。唯有為企業資產建立正確的 CPE 標籤,漏洞管理、合規稽核與風險評估才能真正實現自動化。
留言
張貼留言