聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
最近几周NVD中新增的大量CVE漏洞缺乏富数据,即研究人员和安全团队用来理解漏洞的必要详情。
NVD 由美国标准与技术研究所 (NIST) 在2005年创建,仅在去年一年,该数据库就新增了超过2.9万个漏洞的数据。NIST 员工通过提供更多信息如漏洞的基本描述、所影响软件、CVSS评分、相关通用缺陷枚举 (CWE) 和通用平台枚举 (CPE) 详情、补丁可用性和其它信息资源链接的方法,对CVE进行“丰富”。
2月15日,NVD在主页发布通知称,CVE的分析发布可能会临时延迟,“NIST 目前正在努力设立合作联盟,解决NVD计划面临的挑战并开发改进工具和方法。我们对此带来的不便深表歉意并请在改进期间,耐心等待。”
NetRise 公司提到,在2月12日新增的CVE漏洞中,仅有约8%的CVE记录拥有相关联的CPE。思科威胁检测和响应团队的研究员 Anchore 和 Jerry Gamblin 分析发现,2000多条CVE记录缺少富数据。
除了网站通知外,NIST 并未对此提供其它任何公开解释。不过,VulnCheck 公司的安全研究员 Patrick Garrity 在 LinkedIn上提到,NIST 最近经历了十多年来的首次预算削减。同时,每年发布的CVE数量几乎翻了一番,从2017年的1.5万条增加到2023年的超过2.9万条。
Garrity 提到,“人工分析是处理CVE漏洞流程不可或缺的一环,出现延迟可能是因为处理CVE发布指数级增长的资源有限造成的。项目繁多而资源有限,艰难的优先级决策不可避免。虽然公众无法知道CVE富数据暂停的原因,但很明显NIST员工面临确保该计划可持续发展的艰难决策。”
Chainguard 公司的首席执行官 Dan Lorenc 强调称,新漏洞缺少CPE匹配信息对于依赖于NVD数据的组织机构而言,问题尤为明显。
他指出,“扫描器、分析器和多数漏洞工具都依赖NVD设置字段,以判断哪款软件受哪些漏洞影响。这是一个巨大的问题,少了任何关于漏洞的真实说明令人不安。”
Aqua 公司总裁 Chris Hughes 也对此表达担忧。他发帖称,“说到使用最为广泛的漏洞数据库的漏洞分析,这个合作联盟到底是什么?谁会参与?会做出什么变化?我们作为一个行业会看到什么类型的延迟?我在职业生涯中遇到很多问题,但我从未见到哪个‘合作联盟’真正有助于解决问题。这里所缺少的透明度尤其让人担心。”
SANS 技术研究所的安全新趋势总监 John Pescatore 将网络安全类比为道路安全。他提到,“对于必须修复的汽车‘漏洞’(召回)而言,车厂必须通知负责维护易用数据库的国家公路交通安全管理局 (NHTSA)。车厂还必须支付修车费用!NHTSA 比NIST/NVD领先40年,法律是时候应该像处理车辆那样处理软件了。”
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~