只看CVE是万万不够了

曾几何时，CVE可是网络安全从业人员的必备红宝书，能攒一个被CVE收录的洞一度是件很骄傲的事情，可惜随着如今的百年不遇大变局，CVE已经不是以前的CVE了。

何谓大变局，太大的方面不好说，在网安领域有这么几个情况：

#国内用的和外面不一样了，#白帽子们已经不爱CVE了，#国内外分享漏洞受到政策影响。

1、国内用的和外面不一样了

随着信创、国产化的趋势，以及国内软件行业的发展，国内的互联网世界中用的软硬件和国外已经越来越不同，再加上HW等攻防演练活动的加持，这些洞CVE显然不关注。

下图是微步在线XVE漏洞库，大家可以看到很多应用只有国内在用。

下图是阿里云AVD漏洞库中的非CVE漏洞，依然是这个情况

从列表中还可以看到一个情况，有CVE编号的漏洞数 209348 个，无CVE编号的漏洞数85168 个。

CVE官网显示是199671个条目可被查询，综合业内常用的几个漏洞库看，大约估计收录在册的洞在30万个，其中有CVE编号的约三分之二。

2、白帽子们已经不爱CVE了

老百姓是用脚投票的。在CVE上提交漏洞细节一直是要英文交流，不仅是和CVE官方聊，还要和对应的CNA聊，流程复杂缓慢，而且还没啥奖励，对于大量的草根白帽子来说，体验难受，可能更多就是刷个编号，赚个吆喝，网上有不少手把手中文指导水CVE的帖子。

CNA的全称是“CVE Numbering Authority”中文可以理解为“CVE编号授权机构”顾名思义就是这些CNA有权限分配和管理CVE编号，截止目前为止，共有283个CNA，覆盖36个国家。CNA包括软硬件厂商（苹果、谷歌、联想、阿里等）、安全厂商和研究机构（Mcafee、Sophos、Kaspersky等）、项目发起机构、漏洞研究人员、国家和行业CERT以及漏洞奖励计划组织。这些CNA可以构建CVE列表，并分配列表中的CVE编号和录入相关信息。

上面这些数字加起来并不是283，因为有些组织会有多个属性，比如说阿里既是Vendor，也是Open Source。

Top-level Root只有两家，美国网络安全基础设施和安全局（CISA）和CVE的东家MITRE。

再来看看国内厂商微步的漏洞奖励计划，给的价格可比肩微软、Google、Apple等赏金大户。最近，CNNVD也发布了自己的漏洞赏金计划，钱不钱的。

下面两个是圈内比较流行的公共漏洞赏金平台，谈美金

Bugcrowd

https://www.bugcrowd.com/bug-bounty-list

Hackerone

https://hackerone.com/directory/programs

3、分享漏洞政策受限

2022年6月，美国商务部工业和安全局（BIS）发布了一项网络安全最终规定中国被分到D类，在网络漏洞信息分享上受到更严格的管控。当时有不少朋友问我怎么看。提到分享安全漏洞这件事，让我想起了之前在业内影响比较大的log4j ，当时是国内阿里云团队首先发现，于 2021 年 12 月 23 日于阿里云社区通报，同时向软件开发方 Apache 报告该问题，本身挖洞的水平和技术风格是挺争气的，按业界惯例也是发现漏洞后第一时间向厂商报告。但是，在中美博弈的背景下，这么唐突的漏洞分享就比较麻烦了。

其实，美国这个新规只是把事情说透了，事实是漏洞本来就是受限访问、受限发布的，在CVE披露漏洞细节前，某些厂商、某些组织会早于公众看到细节。记得以前有一个IBM某软件的洞，CVE上有编号，但是细节还没有披露，但在某安全厂商的内部漏洞情报上写的明明白白，再比如说斯诺登爆的那一堆洞。

面向公众的常规规则是，CVE上的漏洞详情本身是受限展示的，在漏洞没有得到厂商确认和补丁发布之前，公众是无法从CVE获取细节，有研究表明，在发布CVE漏洞之前，已经存在80％的在野漏洞利用程序。平均而言，漏洞利用是在CVE发布前23天发布的，也就是说软件和硬件可能带有无CVE编号的漏洞。自1999年以来的整个CVE列表，分配CVE编号40天后发布CVE，研究人员曾分析了177,043个CVE条目，其中超过10,000个CVE处于“保留”状态已超过两年，它表明漏洞发现与CVE发布之间存在很长的延迟。比如下图这个，拿到CVE编号是2022年，但直到2023年4月11日才发布出来。

下图展示了从漏洞发现到CVE发布的时间表。通常来说，确切的漏洞发现时间是不确定的，但是可以在CVE中找到分配CVE编号的时间和发布的时间。CVE一般会在供应商发布补丁后立即发布，补丁发布后，有权访问的攻击者可以通过对补丁进行逆向工程来发现漏洞。正如我们将看到的，大多数漏洞利用攻击都是在补丁发布的第一周内开发和发布的。一些供应商可能会要求延迟发布CVE，以给他们的客户更多的漏洞修复时间。

对于大众来说，任何的脆弱性或者逻辑缺陷都可以说是漏洞，本文仅浅聊一下狭义的网络安全领域的漏洞——在软件和硬件组件中发现的计算逻辑(例如代码)中的弱点，一旦被利用，就会对机密性、完整性或可用性造成负面影响。在这种情况下，缓解漏洞通常涉及代码更改，但也可能包括规范更改甚至规范弃用(例如，完全删除受影响的协议或功能)。

即便如此，CVE依然很权威，整个项目的运作机制依然值得我们研究和借鉴。

最后分享几个常用的漏洞库。

SecurityFocus（Bugtraq），上古时期的库。

Scott Chasin 于 1993 年 11 月 5 日建立，一般叫Focus的都比较厉害(XFocus, NSFOCUS, MicroFocus...)，可惜从赛门铁克转手埃森哲后，已倒闭。

2021年是这个样子：

现在是这个样子：

不过大家依然能在seclists.org上找到过去的存档，NMAP的大眼睛。

https://vuldb.com
VulDB 号称全球第一个漏洞库，运营超过25年，支持自定义软件版本订阅漏洞预警。

https://www.exploit-db.com

Exploit Database 号称全球最大的公共漏洞利用库

https://nvd.nist.gov

NVD是美国国家信息安全漏洞库，CVE和NVD是两个不同的项目，CVE List 由MITRE发起于1999年，NVD（美国国家漏洞库）是由National Institute of Standards and Technology (NIST) 发起于2005年。CVE列表为NVD提供信息，NVD根据CVE记录中包含的信息为每条记录提供增强的信息，如修复信息、严重性评分和影响评级。作为增强信息的一部分，NVD还提供了高级搜索功能，如通过操作系统;按供应商名称、产品名称和/或版本号;并根据漏洞类型、严重程度、相关利用范围和影响进行分类。CVE和NVD虽然是独立的，但都是由美国国土安全部(DHS)网络安全和基础设施安全局(CISA)赞助的，并且都对公众开放并免费使用。