美國用于追蹤安全漏洞的聯邦數據庫幾乎陷入停頓。對新披露的漏洞和風險的分析幾乎已經不存在，專家警告說，巨大的積壓和持續的問題可能導致關鍵部門的供應鏈風險。

簡單地說：國家漏洞數據庫出了問題，而且沒有一個有效的解決辦法。

爲了解決NVD的問題，就必須解決另外一個關鍵問題，Cyber Threat Alliance總裁兼首席執行官，國家安全委員會前網絡安全協調員的Michael Daniel表示：誰應該負責向數據庫填充信息，以提供全面和可操作的風險信息？關于這個數據庫目前由國家標准技術研究院管理是否應該遷移到網絡安全和基礎設施安全局，甚至遷移到處理大部分漏洞管理流程的私營部門，還存在很大的爭議。

“這些不同的方法各有利弊，安全和漏洞管理社區的相關利益相關者應該聚在一起達成共識，看哪種方法會産生最好的結果。一旦我們回答了這個問題，我們應該確保該功能得到充分資金支持和支持。”

根據NIST的數據，目前至少有9762個CVE尚未被NVD分析。這個數字可能還會繼續增加。截至5月13日，NIST僅分析了5月份收到的近2000個新CVE中的兩個。NIST在4月下旬承認了NVD的積壓問題，當時該機構發布了一份通知，將問題歸咎于“多種因素”，包括“軟件的增加，導致漏洞增加，以及跨機構支持的變化。”

NIST沒有提供關于跨機構支持中斷的更多詳情，並且沒有回應關于持續積壓的評論請求。該機構在其4月的通知中表示，它正在“尋找更長期的解決方案”，包括可能建立一個由行業、政府和利益相關者組織合作的聯盟，以改進NVD的現狀。

據風險基礎的漏洞管理平台Nucleus Security的聯合創始人Scott Kuffer所說，NVD的積壓可能會影響主要的網絡安全供應商，如CrowdStrike、微軟Defender for Endpoint，甚至一些領先的雲安全姿態管理工具——例如Orca和Wiz。

“如果他們的主要掃描引擎是基于NVD的，那麽他們檢測漏洞的能力將受到嚴重影響。事實上大多數網絡安全産品的掃描引擎都是這樣的。那麽接下來最大的問題是，你的環境中會有你看不見或不知道的漏洞。”

一些威脅分析師認爲，私營部門應該承擔更多的責任來檢測和報告漏洞，因爲行業已經具備實時檢測的能力。私營部門實體已經負責將漏洞指定爲CVE，他們的專業知識和敏捷性可以提高漏洞管理工作的整體效果。

對此持反對觀點的分析師認爲，數據庫應該保留在聯邦手中，以更好地促進公私部門在漏洞管理方面的合作，並確保一致的標准和監督。政府集中管理也可以有效減輕私營部門潛在的利益沖突，並確保跨部門風險管理機構解決關鍵漏洞，進一步保護國家安全和關鍵基礎設施。

NVD計劃不執行漏洞測試，因爲它依賴于第三方安全研究人員、供應商和漏洞協調員來分配風險屬性和額外信息給CVE。NVD工作人員負責從CVE描述中聚合數據點，並編譯任何可以在公開在線找到的額外數據。

IT服務管理公司Chainguard的營銷副總裁Kaylin Trychon在4月份給國會和商務部的一封信上簽名，與其他近50名安全專業人士一起表達了恢複和增強NVD運營的需求。敦促國會對圍繞數據庫的挑戰展開調查，並幫助恢複漏洞強化過程。

信中建議國會將 NVD 視爲關鍵基礎設施和基本服務，這樣就有可能爲數據庫及其濃縮業務提供更多資金和國家資源。Trychon 認爲，將 NVD 的責任交給私營部門將導致災難。

“將會有更多的力量試圖介入或取代NVD，這將在這個已經複雜的領域引起更多的混亂。這也將成爲整個網安行業不可承受之重，導致一個更加嚴重的安全事故。”

安全專家指出，在放緩之前NIST分析師所做的一部分工作可以自動化，從而提供更高質量、更及時、更一致的NVD數據。但即便如此，面對資源日益匮乏的情況，NVD依舊必須要決定，以怎樣的順序來修補漏洞。

Trychon表示，“NVD數據有助于企業做出這些優先級決策，如果NVD數據不一致或不及時，企業就無法做出正確的優先排序決策，那麽整個生態系統就會變得不那麽安全。”

參考來源：https://www.inforisktoday.com/experts-warn-nvd-backlog-reaching-breaking-point-a-25191