聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
NVD是由美国联邦政府维护的安全漏洞仓库,不过自今年2月份后由于资助削减,美国国家标准技术研究所 (NIST) 停止对数千个已报送软件和硬件缺陷的分析工作。
本周二晚些时候,NIST 宣布已获得“额外的处理支持”,帮助处理从今年年初就积压的工作,当时专家提醒称NVD数据库已达到临界点。信息安全媒体集团 (ISMG) 此前报道称,该漏洞库拥有近1万个未分析的漏洞,而NIST仅评估了在5月份报送的近2000个CVE漏洞中的两个。
NIST 表示,“我们确信这一额外支持将使我们在未来几个月内恢复到2024年2月以前保持的处理速度。” NIST还指出将在“本财年末(9月30日)”清理未处理的CVE积压任务。
专家向 ISMG 表示,NVD的恢复工作令人高兴,但提醒称太多的私营组织机构越来越多地依赖NVD来追踪CVE漏洞。Sonatype 公司的首席技术官兼开源安全基金会的董事会成员 Brian Fox 指出,“太多的商用工具仅依靠NVD获取漏洞富数据。一旦NVD工作放缓,那么所有这些工具实际上无法发现新漏洞。”
NIST的一名发言人向 ISMG 表示,新的合同人员将由位于马里兰的公司 Analygence 提供,但拒绝透露关于该合同的服务期限和总花费问题。NIST表示正在与CISA协作,将未处理的CVE增加到NVD中。
NIST 还提到,正在“着手处理技术和流程更新带来的不断增多的漏洞”,并表示目的是构建一个可持续的计划,“以及支持漏洞管理、安全衡量和合规的自动化”。
https://www.govinfosecurity.com/nist-unveils-plan-to-restore-national-vulnerability-database-a-25366
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~