CISA启动Vulnrichment计划以应对NVD挑战

阅读量27207

发布时间 : 2024-05-09 10:35:40

美国网络安全和基础设施安全局(CISA)5月8日宣布,正在启动一项名为“Vulnrichment”的新软件漏洞丰富计划。

近三个月前,由美国国家标准与技术研究院(NIST)运营的世界上最全面的漏洞数据库国家漏洞数据库(NVD)开始面临漏洞丰富的挑战。

根据其自己的数据,NIST仅分析了今年迄今为止收到的14,228 个常见漏洞和暴露(CVE)中的4523个。

CISA的“Vulnrichment”计划将侧重于向CVE添加元数据,包括通用平台枚举(CPE)编号、通用漏洞评分系统(CVSS)分数、通用弱点枚举(CWE)名称标签和已知利用的漏洞(KEV)条目。

CISA在社交媒体帖子中表示,这些元数据“对于帮助组织优先考虑修复、了解趋势并推动供应商解决漏洞类别至关重要”。

CISA表示,它最近丰富了1300个CVE,并将继续努力确保所有提交的 CVE都得到丰富。该机构已要求所有CVE编号机构(CNA)在首次向CVE.org提交时提供完整的CVE。

软件安全公司VulnCheck的安全研究员Patrick Garrity在RSA Conference 2024期间接受Infosecurity采访时赞扬了CISA的举措。

加里蒂说:“NIST继续过度承诺但兑现不足,让安全界对NVD的未来感到不确定。”

Aquia创始人、前CISA研究员Chris Hughes告诉Infosecurity,“Vulnrichment”计划是“CISA 与社区分享的绝佳资源”。

据悉,NVD已大大减缓了漏洞/CVE的丰富程度,导致社区难以正确定位漏洞并确定漏洞的优先级。

通过CISA提供此信息,超过1,000个漏洞现在有了额外的上下文,并且可以由组织正确确定优先级。

RiskHorizon.ai首席执行官兼创始人Immanuel Chavoya表示,Vulnrichment计划是朝着正确方向迈出的关键一步。

他警告说,真正的弹性在于在利用发生之前先发制人地丰富所有CVE。

本文转载自:

如若转载,请注明出处: https://www.infosecurity-magazine.com/news/cisa-launches-vulnrichment-program/

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66