美国国家标准与技术研究院 (NIST) 正式宣布将把世界上使用最广泛的软件漏洞存储库的部分管理工作移交给行业联盟。
NIST 是美国商务部的一个机构,于 2005 年推出了美国国家漏洞数据库 (NVD) 并一直运营至今。
这种情况预计会发生变化,数据库最早从 2024 年 4 月开始将交由经过审查的组织集体管理。
NVD 项目经理 Tanya Brewer 在VulnCon 会议上正式宣布了这一消息。VulnCon 是由事件响应和安全团队论坛 (FIRST) 主办、于 2024 年 3 月 25 日至 27 日在北卡罗来纳州罗利举行的网络安全会议。
这一消息是在人们对 NVD 可能关闭的猜测数周之后发布的。
NIST 于 2024 年 2 月停止 CVE 收集
3 月初,许多安全研究人员注意到 NVD 网站上自 2 月中旬开始上传的漏洞丰富数据大幅下降。
根据其自己的数据,NIST 在 3 月份迄今为止收到的 2957 个常见漏洞和暴露 (CVE) 中仅分析了 199 个。
自 2 月中旬以来,总共有 4000 多个 CVE 尚未得到分析。
由于 NVD 是世界上最全面的漏洞数据库,许多公司依靠它来部署更新和补丁。
如果此类问题不能迅速解决,可能会对全球安全研究人员社区和组织产生重大影响。
固件安全提供商 NetRise 首席执行官 Tom Pace 在接受Infosecurity 采访时 解释道:“这意味着你要要求整个网络安全社区在一夜之间以某种方式找出设备、操作系统、软件包、应用程序、固件中存在哪些漏洞。这是一项完全不可能完成的任务!”
软件安全提供商 Chainguard 的联合创始人兼首席执行官 Dan Lorenc 称该事件是一个“大问题”。
“我们现在依靠行业警报和社交媒体来确保我们尽快对 CVE 进行分类,”他告诉Infosecurity。
“扫描仪、分析器和大多数漏洞工具都依赖 NVD 来确定哪些软件受到哪些漏洞的影响,”Lorenc 补充道。 “如果组织无法有效地对漏洞进行分类,就会面临更大的风险,并在漏洞管理方面留下重大差距。”
为了在 NVD 积压的情况下保持运营,VulnCheck、Anchore 和 RiskHorizon AI 等多家安全公司开始开展项目,为 NVD 传统上提供的漏洞披露的某些部分提供替代方案。
这一事件恰逢联邦风险和授权管理计划 (FedRAMP Rev. 5) 最新修订版的发布,这是一项美国联邦法律,要求任何想要与联邦政府开展业务的公司使用 NVD 作为事实来源并修复其中所有已知的漏洞。
NVD 内部的挑战引发了一场“完美风暴”
在 NIST 发表声明之前,对正在发生的事情的猜测包括:
NIST 内部的预算问题,立法者最近批准了NIST 本财年 14.6 亿美元的预算,比上一年减少了近 12%
与承包商的终止合同,可能是亨廷顿英格尔斯工业公司(Huntington Ingalls Industries)——一家在 NVD 上与 NIST 公开合作的造船承包商
内部讨论更换 NVD 使用的一些漏洞标准,例如充当 IT 产品指纹的通用产品枚举器 (CPE),用于清楚地识别软件、硬件和系统
内部讨论开始采用软件包 URL (PURL),这是一种列出软件包通用地址的新标准
在 VulnCon 上,Brewer 并没有深入探讨 NVD 问题的原因,他表示,“虽然背后有一个故事,但它又长又复杂,而且非常行政化。”
书面声明将于 3 月 29 日在 NVD 网站上发布。
她补充说,一些挑战导致 NVD 项目迎来了“这场完美风暴”。
“2023 年 5 月,我发现我们需要以不同的方式做事,并开始以不同的方式与行业合作。从那时起我们就一直致力于此。不幸的是,我们遇到了完美的风暴,但没有按照我们想要的速度完成任务。”
她表示,NIST 正在积极重新分配人员,并加强与其他政府机构在 NVD 项目上的合作。
“我们不会关闭 NVD;我们正在解决当前的问题。然后,我们将让 NVD 再次强大起来,并使其成长,”她坚持说。
NIST 提供有关即将成立的 NVD 联盟的详细信息
2 月 15 日,NVD 网站宣布,NIST“目前正在努力建立一个联盟,以应对 NVD 计划中的挑战并开发改进的工具和方法。”
Brewer 在 VulnCon 上证实了这一点。
文章原文链接:https://www.anquanke.com/post/id/295128
