NIST解释为何未能清除CVE积压问题

NIST周三分享了其在清理国家漏洞数据库 (NVD) 中的CVE积压方面取得的进展，并解释了为何无法在规定的期限前完成。 

NIST 在二月份透露，由于正在改进程序，NVD 对 CVE 标识符的分析  可能会出现延迟。

在接下来的几个月里，漏洞积压了超过 18,000 个，但 NIST 在 5 月底宣布已与 Analygence 签订合同，为 NVD 提供额外的处理支持。该公司还表示，预计将在本财年结束前（9 月 30 日）清理所有积压漏洞。

然而，漏洞管理公司 VulnCheck在 9 月底报告称，超过 18,000 个 CVE 中 72% 尚未分析，而 5 月 19 日这一数字为 93%。近一半的已知被利用漏洞 (KEV) 也尚未分析。 

NIST在周三发布的最新消息中表示，目前已拥有一支完整的分析师团队，能够对所有收到的CVE进行分析。该机构表示，所有KEV积压问题都已得到解决。不过，NIST承认，其对9月30日清理所有积压案件的初步估计是过于乐观了。

“这是因为我们从授权数据提供商 (ADP) 收到的积压 CVE 数据格式目前无法有效导入和增强，”该机构解释道。“为了解决这个问题，我们正在开发新系统，以便我们能够更有效地处理传入的 ADP 数据。”

NIST 尚未公布预计何时能够清理所有积压案件的估计数字，但该机构承诺将继续分享进展情况。 

事件回顾：

• 2024 年 11 月 13 日：此更新提供了有关我们在处理所有传入的常见漏洞和暴露 (CVE) 以及解决今年早些时候积累的 CVE 积压问题方面的进展信息。

  我们现在拥有一支完整的分析师团队，我们正在处理所有上传到我们系统的 CVE。此外，我们已经解决了积压的所有已知可利用漏洞 (KEV)，并且我们正在处理所有新 KEV。

  然而，我们最初对清理积压数据的时间估计过于乐观。这是因为我们从授权数据提供商 (ADP) 收到的积压 CVE 数据格式目前还无法有效导入和增强。

  为了解决此问题，我们正在开发新系统，以便我们更有效地处理传入的 ADP 数据。我们正在努力尽快完成此项目，并将继续在此 NVD 更新页面上提供有关我们进展的更新。
   

• 2024 年 8 月 12 日：2024 年 8 月 12 日至 16 日这一周，NVD 的服务器将接受 NIST 的维护。NVD 服务可能会偶尔中断，持续到 2024 年 8 月 16 日下午 6:00。
   

• 2024 年 7 月 18 日：我们目前正在更新我们的服务器，因此用户可能会在 2024 年 7 月 18 日星期四上午 11:00 左右开始遇到暂时的延迟或可用性问题。我们预计我们的系统将在同一天美国东部时间下午 3:00 恢复正常。
   

• 2024 年 7 月 2 日：  NIST 最近进行了更新，以改进 NVD 的功能。我们意识到 NVD API 端点存在可用性问题，并且正在努力解决这些问题。如果您遇到架构验证错误，请确保您或您使用的工具具有最新的架构文件，这些文件最近已更新。一旦用户进行这些更新并实施最佳实践以减少不必要的请求量，稳定性就应该恢复。