避免漏洞命名製造恐慌，CERT/CC將自己為漏洞起名字

有鑒於安全界為發現的漏洞取的名稱愈來愈聳動，製造一般用戶的恐慌，美國網路緊急回應小組協調中心（CERT/CC）將自己提供漏洞的中性命名。

儘管資安界發展出以CVE-（年份）-（數字）的格式作為漏洞命名，稱為CVE-ID，但是資安公司往往為了加深用戶印象或便於稱呼，而會另外起響亮並略帶恐怖氣氛的名稱。因此使用者會記得Spectre/Meltdown，而非其正式名稱CVE-2017-5715/CVE-2017-5754。同樣的，各種重大漏洞Heartbleed (CVE-2014-0160) 、BLURtooth (CVE-2020-15802)、或最近的Zerologon (CVE-2020-1472)，未來都會以其外號，而非正式名稱出現在一般人的討論中。

然而代管在卡內基美隆大學的CERT/CC卻對這類命名很有意見。CERT/CC成員Leigh Metcalf指出，這類命名有時為了是極大化效果或行銷用途，成為廠商突顯自家研究發現的工具，但不是每個聽來很恐怖的漏洞實際上都很嚴重，廠商或研究界濫用恐懼、不確定性手段製造消費者恐懼的現象，讓CERT/CC感到不妥。

但是CERT/CC也體認到，人類天生不擅長記憶數字，而傾向記憶名稱。這現象十分普遍，例如人們不太記得IP位址，但可以輕易記住Google等網域名；不記得macOS 10.14，只會記得Mojave，或是記得城市名，但不記得其經緯度，此外也會為颱風、暴風雪命名。

為了順應人們對文字記憶的偏好，CERT/CC日前推出一個推特機器人服務Vulnonym，同時協助漏洞的討論及減少恐懼心理。首先，他們計畫未來將使用wiktionary及動、植物、天文物體等為基礎，以「形容詞」+「名詞」組成的詞組來為漏洞命名，確保命名不聳動、恐怖或冒犯人。同時他們也設計了CVE-ID及詞組命名的比對法。未來一旦漏洞有了CVE-ID，他們也會同步公布中性命名。目前Vulnonym已上線測試運行。

例如他們公布了CVE-2020-9861名稱為Grounded Bowerbird（不能飛的園丁鳥）、CVE-2020-28046名稱為Natty Gazelle（瀟灑的瞪羚）等。此外，萬一遇到有冒犯到人的情況，CERT/CC也設計了可簡單修正及重新命名的方法。