中国网络安全漏洞披露效率远超美国

10月25日讯 网络安全公司Recorded Future发布的研究报告显示，中国国家信息安全漏洞库（CNNVD）的平均效率比美国计算机应急响应小组（U.S.-CERT）高出近两倍。软件漏洞公开披露后，美国CERT平均花费33天时间完成编目程序，并在美国国家漏洞库（NVD）创建条目，而中国CNNVD完成这些流程的平均时间仅为13天。


美国NVD和CNNVD漏洞披露速度差距多大？

Recorded Future分析了NVD和CNNVD两年的漏洞报告数据。研究人员写到，75%初次披露的漏洞6天内被CNNVD收录，而美国NVD得花20天时间。90%的漏洞在初次披露后的18天内被CNNVD收录，而NVD则要用92天。




协调披露的情况下（只有向NVD报告后才公开发布），CNNVD也只稍微比美国滞后。
当厂商未与NVD密切协调时，NVD要花38天时间报告75%的公开漏洞，125天收录90%的漏洞，而CNNVD分别花费的时间为7天和23天。




研究人员列举了两大案例，例如提权漏洞“脏牛”（CVE-2016-5195）。研究人员发现该漏洞后于2016年10月19日披露，2天内，多个信息安全来源也立即披露漏洞，最初的报告被翻译为俄语发布在俄罗斯犯罪论坛上。6天之后，PoC代码出现在Pastebin上。11月10日，NVD初步公开此漏洞，而在这两周之前就已出现可能的漏洞利用代码。CNNVD在初次披露后两天便披露了该漏洞，比NVD超前20天。



哪怕几天时间高危漏洞都可能带来重大影响。
黑客在Equifax数据泄露中利用的漏洞CVE-2017-5638，其最初公开（Apache Software Foundation）时间为2017年3月7日，多个来源很快披露了此漏洞。 NVD于3月10日收录了该漏洞，而3月7日至3月10日这三天，就已在各处披露了数百次。CNNDV披露此漏洞的时间为3月7日。




CNNVD主动搜索漏洞信息

Recorded Future通过分析后总结称，之所有出现如此大的差距是因为CNNVD主动搜索网络和其它信息来源，查找漏洞信息，而NVD则会等待厂商的报告通过通用漏洞披露（CVE，由MITRE公司管理）数据库进行处理。
NVD网站写到，NVD会分析已在CVE字典中发布的CVE。研究人员发现，中国通过网络上广泛的漏洞信息来源及时优先披露，并不依赖行业自愿报告。相较而言，美国系统太过死板。
研究总结称，NVD之所以延迟数周、数月，其原因在于NIST和MITRE等待厂商自愿提交漏洞相关信息。MITRE负责管理进程，但不会强制及时提交到CVE字典。NVD将CVE字典作为唯一来源，其最终结果是美国政府根本不具备全面的网络安全漏洞数据库。