美国削减国家漏洞库预算，或造成全球网络防御基础数据缺失

VulnCheck表示，NVD漏洞库运行放缓以来，已被利用漏洞列表中有近一半漏洞尚未得到分析。该公司还称，82％的存在公开概念样本（POC）的已被利用漏洞也未经检查。

图：NVD漏洞库每周发布CVE的处理状况（2024年2月12日至5月19日）

VulnCheck的Patrick Garrity表示：“众多知名和有影响力的业内人士已经警告，这种情况将为恶意威胁者提供可乘之机，将漏洞武器化，从而大幅增加多个关键领域的供应链风险。”

“近期，NVD漏洞库运行速度放缓，我们必须认清这一状况的严重性。国家级威胁分子和勒索软件集团一直在持续攻击各大组织，造成破坏性后果，而我们却自乱阵脚。” 

Garrity补充说，20多年来，NVD漏洞库一直向网络安全专家提供了关键信息，包括严重性分数、参考标签、漏洞分类，以及其他影响流行软件的简明漏洞数据。 

他表示，没有这些数据，“NVD漏洞库的前景就将一片黯淡”。 

未来，网络安全公司将不得不填补NVD漏洞库留下的空白。Garrity建议，为了帮助下游消费者，有权创建CVE编号（即漏洞标签）的机构应添加更完整的关于漏洞的数据。 

全球共有379家CVE编号机构（CNAs），分布在40个国家。它们通常是网络安全公司、政府网络安全机构、技术供应商等。 

Garrity还特别提及了严重程度评分和漏洞分类：“CVE编号机构应尽最大努力完整补充CVE记录，包括提交产品名称、供应商名称、版本号、详细描述、广泛参考、CPE、CVSS和CWE。” 

根据Garrity的说法，NVD漏洞库还应该尽可能自动补充CVE信息，从而填补信息空白。他补充说，NVD漏洞库应该“不再分析每个CVE提交情况，转而建立与CNAs和CVE程序的信任模式，无需人工逐个审核。”

他指出，第三方也应被允许为CVE记录添加信息。 

4月底，NVD漏洞库表示，正在“努力组建联盟，应对所面临的挑战，并开发更好的工具和方法。”

5月上旬，美国网络安全和基础设施安全局（CISA）表示理解安全社区的担忧和愤慨，并表示正在启动新的漏洞信息富化项目“Vulnrichment”，为CVE添加Garrity所述的大部分内容。

CISA表示：“最近，我们为1300个CVE补充了信息，并将继续努力确保为所有提交的CVE补充信息。我们要求所有CVE编号机构在向CVE.org提交初始信息时就提供完整详细的CVE数据。”

CISA承诺采取其他措施为漏洞管理流程补充信息。立法者已建议为负责维护NVD漏洞库的NIST提供充足预算，以摆脱当前的困境。

5月29日，NVD漏洞库发布状态更新称，已授予一份合同，以支持NVD CVE信息富化工作。据悉，美国安全公司Analygence赢得了这份合同，项目底价为86万美元。