不管是CVE還是NVD 好多漏洞都被忽略

2018年上半年見證了創紀錄的軟體漏洞報告數量，但仍有很大一部分並未收錄在任何主流漏洞跟蹤列表中的漏洞。

安全公司 Risk Based Security (RBS) 估算，從今年元旦到6月30日記錄的10,644個漏洞中，其中16.6%的CVSSv2評分高於9.0(高危漏洞級，需馬上打補丁的那種)。

然而，這些漏洞中有3,279個既未曝光於通用漏洞庫(CVE)，也未見於美國國家漏洞資料庫(NVD)，甚至沒有一個主流官方漏洞資料庫收錄過。公司企業對這些漏洞的存在一無所知。

而且，這些未得到官方收錄的漏洞中，有44.2%的嚴重性評分在9.0到10.0之間。

「

雖然漏洞管理和評級不僅僅要考慮CVSS評分之類的標準，但如果公司企業不知道可能給自身資產帶來風險的高危漏洞，問題也是很嚴重的。

RBS認為，高危漏洞未得到官方收錄的深層原因在於，漏洞報告增長的同時，也在變得更為分散化。時至今日，哪裡都有漏洞報告和記錄。

鑒於這個原因，RBS這樣的公司才湧現出來，來監視各種漏洞報告來源，獲取更為全面準確的漏洞整體概況。

因為漏洞報告往往混亂而不完整，包含有非英語的語源，所以漏洞整體概況的獲取並非僅僅是跟蹤多個源那麼簡單。雖然有人覺得CVE/NVD解決方案已經足夠好，但基於黑客攻擊的數據泄露事件數量所反映出來的現實卻不是這樣的。

今天這種強敵環伺的計算環境里，來自全世界的攻擊層出不窮，公司企業採用不實的漏洞情報可能會陷入不必要的安全風險之中。

另一個問題是漏洞披露——軟體供應商和開發人員在通知客戶，其所用軟體是否存在漏洞這個問題上並不協同。

《2018漏洞資料庫年中速查報告》顯示，48.5%的漏洞如今是以協同方式披露的，情況好於2017年。

但今年上半年披露的漏洞中仍有25.5%至今尚無已知解決方案，無論是軟體補丁，還是降低漏洞嚴重性的緩解措施，都沒有。

或許有人認為，漏洞數量的整體逐步上升可被理解為好消息，是有部分研究人員以披露漏洞為職責的表現。

雖然某種程度上這麼理解也不算錯誤，但該報告估測，出自蓬勃發展的漏洞獎勵項目的協同披露僅佔13.1%。同時，近1/3的漏洞是有公開的漏洞利用程序的。

雖然RBS有營銷自身研究之嫌，但很明顯，公司企業應將眼光放寬到主流漏洞數據源之外。

「

我們一直都觀察到有很多公司依然依賴CVE和NVD進行漏洞跟蹤，雖然這些美國政府支持的組織繼續收錄不全可識別漏洞。

《2018漏洞資料庫年中速查報告》原文：

https://pages.riskbasedsecurity.com/2018-midyear-vulnerability-quickview-report

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！