本论文提出了一种名为全球CVE倡议（GCVE）的分散化、开放且可扩展的模型，用于漏洞识别、发布和运营丰富化。论文指出当前漏洞生态系统存在一个关键缺口：集中式系统（如传统CVE）提供严格的控制和广泛认可的标识符，但许多生产者（如安全厂商、开源项目）独立发布公告，缺乏用于发现、关联、丰富和复用的共享框架。GCVE作为一个社会技术标准化努力，结合了自治的GCVE编号机构（GCVE Numbering Authorities）、轻量级分配规则、分布式发布、开放的最佳当前实践（BCP）以及实用的参考实现。该模型在允许参与者根据其运营需求发布的同时，保持全局唯一性。GCVE还拓宽了漏洞记录的概念，涵盖分配、披露、目击（sightings）、拒绝标识符、观察、被利用漏洞信息以及丰富记录。论文描述了GCVE BCP过程如何支持技术互操作性和可修正的运营实践，包括漏洞处理和披露的实用指南。此外，它探讨了扩展机制，包括面向人工智能的扩展，作为一种在不集中控制的情况下演进标准的方式。特别关注了参考实现vulnerability-lookup，它聚合多个来源，支持GCVE发布和消费，实现分布式已知被利用漏洞数据，并支持自动丰富的漏洞数据流。基于MISP生态系统的经验教训，GCVE将漏洞协调不仅视为标识符分配，而且视为集体安全知识生产的开放基础设施。本文适合对漏洞管理、安全数据标准化、分散化系统感兴趣的安全研究人员和工程师阅读。

该研究采用混合方法（问卷调查n1=80 + 半结构化访谈n2=22）调查了GitHub Advisory Database中列出的开源软件（OSS）项目的维护者，探究他们在漏洞管理和平台安全特性方面的观点。研究识别出37个关键方面，发现供应链不信任和缺乏自动化漏洞管理工具是最严峻的挑战。在采用平台安全特性（如私有漏洞报告、安全策略等）时，维护者普遍存在意识不足或认为不必要的认知。令人惊讶的是，即使项目过去曾遭受漏洞攻击，仍有部分维护者继续开放公开漏洞报告，甚至忽略报告。基于这些发现，论文讨论了OSS平台（如GitHub）应如何改进，以及研究社区如何更好地支持OSS漏洞管理工作。适合安全平台设计者、OSS社区管理者以及安全研究人员阅读。

FixV2W利用知识图谱嵌入和历史重映射模式，修正NVD中无效的CVE-CWE映射，提升漏洞管理准确性。