避免漏洞命名制造恐慌，ERT/CC将自己为漏洞起名字

有鉴于安全界为发现的漏洞取的名称愈来愈耸动，制造一般用户的恐慌，美国网络紧急回应小组协调中心（CERT/CC）将自己提供漏洞的中性命名。

尽管资安界发展出以CVE-（年份）-（数字）的格式作为漏洞命名，称为CVE-ID，但是资安公司往往为了加深用户印象或便于称呼，而会另外起响亮并略带恐怖气氛的名称。因此使用者会记得Spectre/Meltdown，而非其正式名称CVE-2017-5715/CVE-2017-5754。同样的，各种重大漏洞Heartbleed (CVE-2014-0160) 、BLURtooth (CVE-2020-15802)、或最近的Zerologon (CVE-2020-1472)，未来都会以其外号，而非正式名称出现在一般人的讨论中。

然而代管在卡内基美隆大学的CERT/CC却对这类命名很有意见。CERT/CC成员Leigh Metcalf指出，这类命名有时为了是极大化效果或行销用途，成为厂商突显自家研究发现的工具，但不是每个听来很恐怖的漏洞实际上都很严重，厂商或研究界滥用恐惧、不确定性手段制造消费者恐惧的现象，让CERT/CC感到不妥。

但是CERT/CC也体认到，人类天生不擅长记忆数字，而倾向记忆名称。这现象十分普遍，例如人们不太记得IP地址，但可以轻易记住Google等网域名；不记得macOS 10.14，只会记得Mojave，或是记得城市名，但不记得其经纬度，此外也会为台风、暴风雪命名。

为了顺应人们对文字记忆的偏好，CERT/CC日前推出一个推特机器人服务Vulnonym，同时协助漏洞的讨论及减少恐惧心理。首先，他们计划未来将使用wiktionary及动、植物、天文物体等为基础，以“形容词”+“名词”组成的词组来为漏洞命名，确保命名不耸动、恐怖或冒犯人。同时他们也设计了CVE-ID及词组命名的比对法。未来一旦漏洞有了CVE-ID，他们也会同步公布中性命名。目前Vulnonym已上线测试运行。

例如他们公布了CVE-2020-9861名称为Grounded Bowerbird（不能飞的园丁鸟）、CVE-2020-28046名称为Natty Gazelle（潇洒的瞪羚）等。此外，万一遇到有冒犯到人的情况，CERT/CC也设计了可简单修正及重新命名的方法。