美国漏洞库简介
| 项目 | 描述 |
| CVE (Common Vulnerabilities and Exposures) | CVE是公开披露的网络安全漏洞列表,提供漏洞详细信息和评分,帮助确定解决优先级。 |
| NVD (National Vulnerability Database) | 由NIST运营,基于标准的漏洞管理数据存储库,使用安全内容自动化协议(SCAP)表示,支持漏洞管理、安全测量和合规性自动化。 |
| CVE Details | 为CVE漏洞数据提供易于使用的web界面,用户可以浏览供应商、产品和版本,并查看与之相关的CVE条目和漏洞。 |
| VulnDB | 最全面、及时的漏洞库,包含详尽的漏洞信息,尤其是受影响版本清单非常详尽和准确。 |
| Exploit Database (EDB) | 由Offensive Security维护的非盈利项目,提供漏洞利用和POC验证数据库。 |
| OSV | Google提供的开源项目漏洞数据库和分类基础设施,帮助开源项目的开发人员和用户应对开源项目漏洞。 |
美国漏洞治理体系发展历程
(图片来源网络,侵删)
基础构筑期(1999年-2013年)
| 阶段 | 主要事件 |
| 1999年 | NIST根据建议创建了“通用漏洞披露”项目(CVE),并在2000年成立了国家漏洞库(NVD)。 |
| 2010年 | 发布《商业和政府信息技术及工业控制产品或系统漏洞政策及规程》,建立“漏洞公平裁决程序”(VEP)。 |
内部调整期(2013年-2017年)
| 阶段 | 主要事件 |
| 2013年 | 斯诺登事件曝光,引发对漏洞治理政策的质疑。 |
| 2017年 | 特朗普政府启动VEP改革,减少情报机构对漏洞治理程序的主导。 |
机制深化期(2018年至今)
| 阶段 | 主要事件 |
| 2018年 | 成立美国网络安全和基础设施安全局(CISA),强化漏洞治理。 |
| 2021年 | 拜登政府发布《改善国家网络安全行政令》,为CISA统筹漏洞治理提供法理基础。 |
| 2024年 | NIST宣布将部分管理工作移交给行业联盟,以应对NVD计划中的挑战并开发改进的工具和方法。 |
当前美国漏洞治理面临的挑战
| 挑战 | 描述 |
| 处理效率低 | NVD漏洞处理时效性不足,分析占比不足32%,存在预算和承包商问题。 |
| 理念未与时俱进 | 专注于应对“零日漏洞”的理念难以适应“在野漏洞”大范围利用的现状。 |
| 预算削减 | 2024财年预算减少近12%,导致漏洞积压问题严重。 |
| 标准讨论 | NIST正在讨论是否更换NVD使用的一些漏洞标准而采用新的标准。 |
美国的漏洞库体系包括多个知名且权威的漏洞库,如CVE、NVD、CVE Details等,尽管美国在漏洞治理方面积累了丰富经验,但当前仍面临处理效率低、理念未与时俱进以及预算削减等挑战,为了应对这些挑战,NIST正在组建NVD联盟,并开发改进的工具和方法。
(图片来源网络,侵删)
以上就是关于“美国漏洞库”的问题,朋友们可以点击主页了解更多内容,希望可以够帮助大家!
(图片来源网络,侵删)
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/77559.html
