美国漏洞数据库 NVD 更新延迟,重要数据缺失
2024-3-19 16:47:18 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

全球广泛使用的漏洞数据库NVD 中2000多条最新记录中缺失重要的防御数据。

最近几周NVD中新增的大量CVE漏洞缺乏富数据,即研究人员和安全团队用来理解漏洞的必要详情。

NVD 由美国标准与技术研究所 (NIST) 在2005年创建,仅在去年一年,该数据库就新增了超过2.9万个漏洞的数据。NIST 员工通过提供更多信息如漏洞的基本描述、所影响软件、CVSS评分、相关通用缺陷枚举 (CWE) 和通用平台枚举 (CPE) 详情、补丁可用性和其它信息资源链接的方法,对CVE进行“丰富”。

2月15日,NVD在主页发布通知称,CVE的分析发布可能会临时延迟,“NIST 目前正在努力设立合作联盟,解决NVD计划面临的挑战并开发改进工具和方法。我们对此带来的不便深表歉意并请在改进期间,耐心等待。”

资助减少,报送井喷

NetRise 公司提到,在2月12日新增的CVE漏洞中,仅有约8%的CVE记录拥有相关联的CPE。思科威胁检测和响应团队的研究员 Anchore 和 Jerry Gamblin 分析发现,2000多条CVE记录缺少富数据。

除了网站通知外,NIST 并未对此提供其它任何公开解释。不过,VulnCheck 公司的安全研究员 Patrick Garrity 在 LinkedIn上提到,NIST 最近经历了十多年来的首次预算削减。同时,每年发布的CVE数量几乎翻了一番,从2017年的1.5万条增加到2023年的超过2.9万条。

Garrity 提到,“人工分析是处理CVE漏洞流程不可或缺的一环,出现延迟可能是因为处理CVE发布指数级增长的资源有限造成的。项目繁多而资源有限,艰难的优先级决策不可避免。虽然公众无法知道CVE富数据暂停的原因,但很明显NIST员工面临确保该计划可持续发展的艰难决策。”

漏洞管理工具依赖于NVD

Chainguard 公司的首席执行官 Dan Lorenc 强调称,新漏洞缺少CPE匹配信息对于依赖于NVD数据的组织机构而言,问题尤为明显。

他指出,“扫描器、分析器和多数漏洞工具都依赖NVD设置字段,以判断哪款软件受哪些漏洞影响。这是一个巨大的问题,少了任何关于漏洞的真实说明令人不安。”

Aqua 公司总裁 Chris Hughes 也对此表达担忧。他发帖称,“说到使用最为广泛的漏洞数据库的漏洞分析,这个合作联盟到底是什么?谁会参与?会做出什么变化?我们作为一个行业会看到什么类型的延迟?我在职业生涯中遇到很多问题,但我从未见到哪个‘合作联盟’真正有助于解决问题。这里所缺少的透明度尤其让人担心。”

SANS 技术研究所的安全新趋势总监 John Pescatore 将网络安全类比为道路安全。他提到,“对于必须修复的汽车‘漏洞’(召回)而言,车厂必须通知负责维护易用数据库的国家公路交通安全管理局 (NHTSA)。车厂还必须支付修车费用!NHTSA 比NIST/NVD领先40年,法律是时候应该像处理车辆那样处理软件了。”

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

NIST宣布成立生成式AI工作组

NIST将对网络安全框架进行重大更新

NIST将弃用已存在27年之久的SHA-1加密算法

为增强软件供应链安全,NIST 发布《开发者软件验证最低标准指南》

NIST 发布关于使用“行政令-关键软件”的安全措施指南

原文链接
https://www.scmagazine.com/news/update-delays-to-nist-vulnerability-database-alarms-researchers

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519101&idx=1&sn=efd912a58ea2760d4c838f44beca4e1d&chksm=ea94ba17dde3330173e2602d24e446aa2edb8b3987cd58fa334313fe369ee6b0c77ca9b6cd53&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh