全球广泛使用的漏洞数据库NVD 中2000多条最新记录中缺失重要的防御数据。

最近几周NVD中新增的大量CVE漏洞缺乏富数据，即研究人员和安全团队用来理解漏洞的必要详情。

NVD 由美国标准与技术研究所 (NIST) 在2005年创建，仅在去年一年，该数据库就新增了超过2.9万个漏洞的数据。NIST 员工通过提供更多信息如漏洞的基本描述、所影响软件、CVSS评分、相关通用缺陷枚举 (CWE) 和通用平台枚举 (CPE) 详情、补丁可用性和其它信息资源链接的方法，对CVE进行“丰富”。

2月15日，NVD在主页发布通知称，CVE的分析发布可能会临时延迟，“NIST 目前正在努力设立合作联盟，解决NVD计划面临的挑战并开发改进工具和方法。我们对此带来的不便深表歉意并请在改进期间，耐心等待。”

NetRise 公司提到，在2月12日新增的CVE漏洞中，仅有约8%的CVE记录拥有相关联的CPE。思科威胁检测和响应团队的研究员 Anchore 和 Jerry Gamblin 分析发现，2000多条CVE记录缺少富数据。

除了网站通知外，NIST 并未对此提供其它任何公开解释。不过，VulnCheck 公司的安全研究员 Patrick Garrity 在 LinkedIn上提到，NIST 最近经历了十多年来的首次预算削减。同时，每年发布的CVE数量几乎翻了一番，从2017年的1.5万条增加到2023年的超过2.9万条。

Garrity 提到，“人工分析是处理CVE漏洞流程不可或缺的一环，出现延迟可能是因为处理CVE发布指数级增长的资源有限造成的。项目繁多而资源有限，艰难的优先级决策不可避免。虽然公众无法知道CVE富数据暂停的原因，但很明显NIST员工面临确保该计划可持续发展的艰难决策。”

Chainguard 公司的首席执行官 Dan Lorenc 强调称，新漏洞缺少CPE匹配信息对于依赖于NVD数据的组织机构而言，问题尤为明显。

他指出，“扫描器、分析器和多数漏洞工具都依赖NVD设置字段，以判断哪款软件受哪些漏洞影响。这是一个巨大的问题，少了任何关于漏洞的真实说明令人不安。”

Aqua 公司总裁 Chris Hughes 也对此表达担忧。他发帖称，“说到使用最为广泛的漏洞数据库的漏洞分析，这个合作联盟到底是什么？谁会参与？会做出什么变化？我们作为一个行业会看到什么类型的延迟？我在职业生涯中遇到很多问题，但我从未见到哪个‘合作联盟’真正有助于解决问题。这里所缺少的透明度尤其让人担心。”

SANS 技术研究所的安全新趋势总监 John Pescatore 将网络安全类比为道路安全。他提到，“对于必须修复的汽车‘漏洞’（召回）而言，车厂必须通知负责维护易用数据库的国家公路交通安全管理局 (NHTSA)。车厂还必须支付修车费用！NHTSA 比NIST/NVD领先40年，法律是时候应该像处理车辆那样处理软件了。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~