網絡安全漏洞資料庫(NVD)近期出現了明顯的運作障礙,顯示了其作為關鍵基礎設施的重要性。NVD由美國國家標準與技術研究院(NIST)管理,是一個公開的資料庫,收錄了獲得CVE編號的軟體漏洞,並提供相關的評分、類型、影響平台等詳細資訊。這些資料對自動化漏洞管理至關重要。
NVD目前面臨的問題包括軟體和漏洞數量增加、政府部門支援改變等因素。NIST表示,他們正在優先處理重大漏洞,並與合作夥伴共同增加分析人力,同時也重新分配NIST內部人員支援此項工作。
此一情況引起了網路安全界的關注,不少專業人士連署向國會和商務部長呼籲,要求調查NVD的問題並提供必要資源,以恢復正常運作並改善現有問題。他們指出,許多組織完全依賴NVD的漏洞評分(CVSS)來決定修補優先順序,如果關鍵漏洞的評分延遲,可能會導致關鍵基礎設施運營商對風險曝露缺乏認知。
令人欣慰的是,NIST向外界保證,他們致力於維護和管理NVD,並正在努力尋求長期解決方案,包括成立一個由業界、政府和其他利害關係團體組成的聯盟,以協作研究改善NVD。該聯盟預計將在兩週內投入運作。
在最近的VulnCon大會上,NVD項目經理透露,未來五年NVD計劃進行多項改革,包括改善軟體識別、增強資料可用性,以及尋求自動化部分CVE分析活動的方式等。
總的來說,NVD面臨的困境凸顯了其作為關鍵網路安全基礎設施的重要性,吸引了各界的高度關注。我們應該支持NIST採取的各項措施,並期待聯盟的成立能夠推動NVD的長期改革與優化,以更好地滿足網路安全社群對漏洞資訊的需求。
詳情請看: