美国网络安全漏洞数据库指南 | AI生成和翻译
National Vulnerability Database 是美国政府标准化的 Vulnerability 管理数据中心库。它由 National Institute of Standards and Technology (NIST) 维护,是全球 Security 专业人员、研究人员和组织的重要参考文档。
什么是 NVD?
NVD 本质上是一个庞大的、可搜索的数据库,记录了已知软件和硬件中的 Security Vulnerabilities。它建立在 Common Vulnerabilities and Exposures (CVE) 列表之上,通过增加额外的分析、Severity 分数和修复信息来丰富每个条目。虽然 CVE 提供了基本的标识系统,但 NVD 增加了详细的上下文信息,使这些数据具有可操作性。
核心组件
CVE Integration:NVD 中的每个 Vulnerability 都对应一个唯一的 CVE 标识符(如 CVE-2024-1234)。这种标准化的命名确保了全球所有人都能一致地引用同一个 Vulnerability。
CVSS Scoring:NVD 为 Vulnerabilities 分配 Common Vulnerability Scoring System (CVSS) 分数,提供 Severity 的数值衡量(0-10)。这有助于组织确定处理 Vulnerabilities 的优先级。评分考虑了 Attack Complexity、所需的 Privileges 以及对 Confidentiality、Integrity 和 Availability 的潜在影响。
CPE Dictionary:Common Platform Enumeration 系统为 IT 系统、软件和软件包提供了一个结构化的命名方案。这使得能够精确识别哪些产品受到每个 Vulnerability 的影响。
CWE Mapping:Vulnerabilities 使用 Common Weakness Enumeration 进行分类,它识别了潜在的 Security Flaw 类型(如 SQL injection、Buffer overflow 或 Cross-site scripting)。
工作原理
当一个新的 Vulnerability 被发现时,它通常遵循以下路径:发现者将其报告给 CVE Numbering Authority (CNA),由其分配一个 CVE ID。随后信息流向 NVD,NIST 分析师会使用 CVSS 分数、受影响的产品配置、补丁或公告的引用以及其他技术细节对其进行丰富。这些丰富后的数据在 NVD 中变为公开可搜索。
实际应用
Security 团队使用 NVD 监控影响其技术栈的新 Vulnerabilities,通过 CVSS 分数评估 Risk,确定修复工作的优先级,并验证补丁是否解决了已知问题。自动化的 Vulnerability Scanners 经常从 NVD 获取数据,以保持其检测特征库的更新。Compliance 框架经常将 NVD 数据作为 Security 要求的一部分进行引用。
近期发展
NVD 近年来面临资源限制,导致在为新发布的 CVE 提供分析和评分等丰富化处理方面出现了积压。这引发了关于在丰富化过程中增加自动化和社区贡献的讨论,尽管 NIST 仍在继续努力提高处理能力。
访问 NVD
该数据库可在 nvd.nist.gov 免费访问,提供 Web 搜索界面和数据 Feed,组织可以将其集成到其 Security 工具中。该网站提供多种搜索方式,包括按 CVE ID、关键词、Vendor、产品或 Vulnerability 类型进行搜索。
NVD 代表了全球 Cybersecurity 基础设施的关键部分,使组织能够及时了解 Security Risks,并就 Vulnerability 管理做出数据驱动的决策。