美国国家标准与技术研究院 (NIST) 正式宣布将把世界上使用最广泛的软件漏洞存储库的部分管理工作移交给行业联盟。
NIST 是美国商务部的一个机构,于 2005 年推出了美国国家漏洞数据库 (NVD) 并一直运营至今。
这种情况预计会发生变化,数据库最早从 2024 年 4 月开始将交由经过审查的组织集体管理。
NVD 项目经理 Tanya Brewer 在VulnCon 会议上正式宣布了这一消息。VulnCon 是由事件响应和安全团队论坛 (FIRST) 主办,于 2024 年 3 月 25 日至 27 日在北卡罗来纳州罗利举行的网络安全会议。
这一消息是在人们对 NVD 可能关闭的猜测数周之后发布的。
3 月初,许多安全研究人员注意到 NVD 网站上自 2 月中旬开始上传的漏洞丰富数据大幅下降。
根据其自己的数据,NIST 在 3 月份迄今为止收到的 2957 个常见漏洞和暴露 (CVE) 中仅分析了 199 个。
自 2 月中旬以来,总共有 4000 多个 CVE 尚未得到分析。
由于 NVD 是世界上最全面的漏洞数据库,许多公司依靠它来部署更新和补丁。
如果此类问题不能迅速解决,可能会对全球安全研究人员社区和组织产生重大影响。
固件安全提供商 NetRise 首席执行官 Tom Pace 在接受Infosecurity 采访时解释道:这意味着你要要求整个网络安全社区在一夜之间以某种方式找出设备、操作系统、软件包、应用程序、固件中存在哪些漏洞。这是一项完全不可能完成的任务!
软件安全提供商 Chainguard 的联合创始人兼首席执行官 Dan Lorenc 表示:我们现在依靠行业警报和社交媒体来确保我们尽快对 CVE 进行分类。扫描仪、分析器和大多数漏洞工具都依赖 NVD 来确定哪些软件受到哪些漏洞的影响。如果组织无法有效地对漏洞进行分类,就会面临更大的风险,并在漏洞管理方面留下重大差距。
为了在 NVD 积压的情况下保持运营,VulnCheck、Anchore 和 RiskHorizon AI 等多家安全公司开始开展项目,为 NVD 传统上提供的漏洞披露的某些部分提供替代方案。
这一事件恰逢联邦风险和授权管理计划 (FedRAMP Rev. 5) 最新修订版的发布,这是一项美国联邦法律,要求任何想要与联邦政府开展业务的公司使用 NVD 作为事实来源并修复其中所有已知的漏洞。
在 NIST 发表声明之前,对正在发生的事情的猜测包括:
NIST 内部的预算问题,立法者最近批准了NIST 本财年 14.6 亿美元的预算,比上一年减少了近 12%
与承包商的终止合同,可能是亨廷顿英格尔斯工业公司(Huntington Ingalls Industries)——一家在 NVD 上与 NIST 公开合作的造船承包商
内部讨论更换 NVD 使用的一些漏洞标准,例如充当 IT 产品指纹的通用产品枚举器 (CPE),用于清楚地识别软件、硬件和系统
书面声明将于 3 月 29 日在 NVD 网站上发布。
她补充说,一些挑战导致 NVD 项目迎来了“这场完美风暴”。
“2023 年 5 月,我发现我们需要以不同的方式做事,并开始以不同的方式与行业合作。从那时起我们就一直致力于此。不幸的是,我们遇到了完美的风暴,但没有按照我们想要的速度完成任务。”
她表示,NIST 正在积极重新分配人员,并加强与其他政府机构在 NVD 项目上的合作。
“我们不会关闭 NVD;我们正在解决当前的问题。然后,我们将让 NVD 再次强大起来,并使其成长,”她坚持说。
2 月 15 日,NVD 网站宣布,NIST“目前正在努力建立一个联盟,以应对 NVD 计划中的挑战并开发改进的工具和方法。”
Brewer 在 VulnCon 上证实了这一点。
“虽然官方文件尚未出来,但 NIST 有意组建 NVD 联盟,以使 NVD 在未来更具相关性。它应该在两周内投入运行,”她解释道。
NVD 联盟将帮助 NIST 提供资金并提供有关未来发展的反馈。
同样出席 VulnCon 的技术合作办公室 (TPO) 联盟协议官员 J’aime Maynard 提供了有关谁可以加入 NVD 联盟以及如何加入的信息。
综上所述,候选者必须是组织,与NIST签署相同的合作研究与开发协议(CRADA)并接受相同的条件和风险。正在考虑收取会员费。
被禁止签署 CRADA 的实体可以根据替代的适当协议被允许参与联盟。
每位成员将在指导委员会中拥有一个席位。该联盟将分为不同的工作组。
NIST 将发布联邦公报通知,详细说明 NVD 联盟的主要目标、如何申请以及 NIST 的相关联系点。
同时,感兴趣的各方可以联系以下电子邮件地址:[email protected]。
布鲁尔表示,一旦 NVD 启动并运行,该计划将考虑在未来一到五年内改进其流程的新方法,特别是在软件识别方面。
其中一些想法包括:
让更多合作伙伴参与:能够让外部各方以可扩展的方式向 CPE 词典提交 CPE 数据,以适应不断增长的 IT 产品数量
软件识别改进:以随着复杂性不断增加而扩展的方式处理 NVD 中的软件识别(考虑采用 PURLS)
新数据类型:开发向 NVD 发布其他类型数据的功能(例如来自 EPSS、NIST Bugs Framework)
新用例:开发一种方法,使 NVD 数据更易于使用,并且更适合目标用例(例如,在发布 CVE 时从 NVD 获取电子邮件警报)
CVE JSON 5.0:扩展 NVD 的功能以利用 CVE JSON 5.0 中提供的新数据点
【免费领】网络安全专业入门与进阶学习资料,轻松掌握网络安全技能!