本论文提出了一种名为全球CVE倡议（GCVE）的分散化、开放且可扩展的模型，用于漏洞识别、发布和运营丰富化。论文指出当前漏洞生态系统存在一个关键缺口：集中式系统（如传统CVE）提供严格的控制和广泛认可的标识符，但许多生产者（如安全厂商、开源项目）独立发布公告，缺乏用于发现、关联、丰富和复用的共享框架。GCVE作为一个社会技术标准化努力，结合了自治的GCVE编号机构（GCVE Numbering Authorities）、轻量级分配规则、分布式发布、开放的最佳当前实践（BCP）以及实用的参考实现。该模型在允许参与者根据其运营需求发布的同时，保持全局唯一性。GCVE还拓宽了漏洞记录的概念，涵盖分配、披露、目击（sightings）、拒绝标识符、观察、被利用漏洞信息以及丰富记录。论文描述了GCVE BCP过程如何支持技术互操作性和可修正的运营实践，包括漏洞处理和披露的实用指南。此外，它探讨了扩展机制，包括面向人工智能的扩展，作为一种在不集中控制的情况下演进标准的方式。特别关注了参考实现vulnerability-lookup，它聚合多个来源，支持GCVE发布和消费，实现分布式已知被利用漏洞数据，并支持自动丰富的漏洞数据流。基于MISP生态系统的经验教训，GCVE将漏洞协调不仅视为标识符分配，而且视为集体安全知识生产的开放基础设施。本文适合对漏洞管理、安全数据标准化、分散化系统感兴趣的安全研究人员和工程师阅读。