中國網路安全性漏洞披露效率遠超美國

E安全10月25日訊 網路安全公司Recorded Future發佈的研究報告顯示，中國國家資訊安全性漏洞庫（CNNVD）的平均效率比美國電腦應急回應小組（U.S.-CERT）高出近兩倍。軟體漏洞公開披露後，美國CERT平均花費33天時間完成編目程式，

並在美國國家漏洞庫（NVD）創建條目，而中國CNNVD完成這些流程的平均時間僅為13天。

美國NVD和CNNVD漏洞披露速度差距多大？

Recorded Future分析了NVD和CNNVD兩年的漏洞報告資料。研究人員寫到，75%初次披露的漏洞6天內被CNNVD收錄，而美國NVD得花20天時間。90%的漏洞在初次披露後的18天內被CNNVD收錄，

而NVD則要用92天。

協調披露的情況下（只有向NVD報告後才公開發佈），CNNVD也只稍微比美國滯後。

當廠商未與NVD密切協調時，NVD要花38天時間報告75%的公開漏洞，125天收錄90%的漏洞，而CNNVD分別花費的時間為7天和23天。

研究人員列舉了兩大案例，例如提權漏洞“髒牛”（CVE-2016-5195）。研究人員發現該漏洞後於2016年10月19日披露，

2天內，多個資訊安全來源也立即披露漏洞，最初的報告被翻譯為俄語發佈在俄羅斯犯罪論壇上。6天之後，PoC代碼出現在Pastebin上。11月10日，NVD初步公開此漏洞，而在這兩周之前就已出現可能的漏洞利用代碼。CNNVD在初次披露後兩天便披露了該漏洞，比NVD超前20天。

哪怕幾天時間高危漏洞都可能帶來重大影響。

駭客在Equifax資料洩露中利用的漏洞CVE-2017-5638，其最初公開（Apache Software Foundation）時間為2017年3月7日，

多個來源很快披露了此漏洞。 NVD於3月10日收錄了該漏洞，而3月7日至3月10日這三天，就已在各處披露了數百次。CNNDV披露此漏洞的時間為3月7日。

CNNVD主動搜索漏洞資訊

Recorded Future通過分析後總結稱，之所有出現如此大的差距是因為CNNVD主動搜索網路和其它資訊來源，查找漏洞資訊，而NVD則會等待廠商的報告通過通用漏洞披露（CVE，由MITRE公司管理）資料庫進行處理。

NVD網站寫到，NVD會分析已在CVE字典中發佈的CVE。研究人員發現，

中國通過網路上廣泛的漏洞資訊來源及時優先披露，並不依賴行業自願報告。相較而言，美國系統太過死板。

研究總結稱，NVD之所以延遲數周、數月，其原因在於NIST和MITRE等待廠商自願提交漏洞相關資訊。MITRE負責管理進程，但不會強制及時提交到CVE字典。NVD將CVE字典作為唯一來源，其最終結果是美國政府根本不具備全面的網路安全性漏洞資料庫。

E安全注：本文系E安全獨家編譯報導，

轉載請聯繫授權，並保留出處與連結，不得刪減內容。