Что такое Национальная база данных уязвимостей?

Когда люди спрашивают, что такое Национальная база данных уязвимостей, они имеют в виду официальный репозиторий правительства США, который консолидирует и дополняет данные об уязвимостях безопасности, раскрытых в открытом доступе. Национальная база данных уязвимостей (nvd) находится в ведении Национального института стандартов и технологий (NIST) Standards и технологии) и построен на основе standardс такими как CVE, CVSS, CPE и SCAП. Проще говоря, Национальная база данных уязвимостей NVD берет необработанные идентификаторы уязвимостей (CVE) и добавляет:

• Оценки серьезности (CVSS)
• Показатели воздействия
• Сопоставление продуктов и версий (CPE)
• Ссылки на рекомендации, исправления и примечания поставщиков
• Ссылки на базовые слабости (CWE)

Так что если твой сканер, SCA инструментом или риск dashboard показывает вам ранжированные и оцененные уязвимости, есть большая вероятность, что данные NVD за этим стоят. Это ядро ​​Национальной базы данных уязвимостей: обогащенная, standardкаталог уязвимостей, который другие инструменты и процессы могут использовать автоматически. Понимая, что такое предотвращение потери данных в этой распределенной реальности, мы в конечном итоге получаем слепые зоны, заранееcisименно там, где атакующим будет комфортнее всего.

Какие данные на самом деле хранятся в Национальной базе данных уязвимостей NVD? #

Чтобы понять, что такое Национальная база данных уязвимостей, и это будет полезно для DevSecOps, полезно разобрать, что именно она хранит и публикует:

• Записи об уязвимостях на основе CVE: Каждая запись в Национальной базе данных уязвимостей соответствует идентификатору CVE и включает более подробное описание, затронутые продукты и технические ссылки.
• Информация о серьезности и воздействии: Национальная база данных уязвимостей NVD присваивает баллы CVSS (v2/v3), показатели воздействия и иногда сведения об эксплуатируемости, которые инструменты используют для определения приоритетности исправления.
• Сопоставление продуктов и конфигураций: NVD связывает уязвимости с конкретными поставщиками, продуктами и версиями с помощью идентификаторов CPE, а также контрольных списков конфигурации для поддержки безопасных базовых показателей.
• Классификация слабости (CWE): Записи часто ссылаются на уязвимости CWE, которые отражают слабые места в базовом кодировании или проектировании, предоставляя контекст, полезный для безопасного кодирования и программ AppSec.
• API и каналы данных: База данных предоставляет каналы JSON и API, благодаря чему инструменты могут автоматически синхронизировать данные об уязвимостях, оценки и комментарии поставщиков. dashboards, сканеры и CI/CD pipelines. 

С точки зрения DevSecOps, что такое Национальная база данных уязвимостей, если не общий язык, на котором все эти инструменты основываются для последовательного обсуждения уязвимостей?

Почему команды DevSecOps заботятся о ПНВ? #

Для команд DevSecOps и AppSec Национальная база данных уязвимостей NVD — это не столько веб-сайт, сколько неявная зависимость, встроенная во всю их цепочку инструментов.

SCA инструменты, сканеры контейнеров, сканеры пакетов ОС, сканеры инфраструктуры и многое другое CI/CD безопасность используйте Национальную базу данных уязвимостей NVD для:

• Преобразовать идентификатор CVE в осмысленное описание
• Оценки серьезности извлечения и метрики эксплуатируемости
• Сопоставьте уязвимости с конкретными версиями библиотеки или образами
• Ввод данных о рисках в системы тикетирования и метрики dashboards

Вот почему вопросы о том, что такое Национальная база данных уязвимостей, на самом деле являются вопросами о том: «Откуда берутся наши данные об уязвимостях и можем ли мы им доверять?» Понимание Национальной базы данных уязвимостей NVD помогает объяснить, почему незначительное обновление библиотеки внезапно освещает ваш dashboardили почему некоторые проблемы кажутся высокорискованными, даже если они кажутся неясными.

Распространенные заблуждения о ПНВ #

Как и в случае с атаками на цепочки поставок или вредоносными пакетами, существует ряд заблуждений относительно того, что такое Национальная база данных уязвимостей и что она может или не может делать.

Заблуждение №1: ПНВ работает в режиме реального времени и обеспечивает полную видимость #

Многие полагают, что NVD всегда актуален для всех CVE. На самом деле NVD выполняет обогащение Этап: он берёт базовые записи CVE и добавляет скоринг, сопоставление продуктов и другие метаданные. Эта дополнительная работа требует времени и, особенно с 2024 года, привела к хорошо документированным задержкам и задержкам в полном анализе новых уязвимостей. Для команд DevSecOps это означает, что некоторые CVE, которые вы видите в своих инструментах, могут быстро отображаться с частичными данными или может потребоваться некоторое время, чтобы отобразить полный контекст. Национальная база данных уязвимостей NVD является авторитетной, но не мгновенной.

Заблуждение №2: NVD — это сканер уязвимостей #

Ещё одно распространённое заблуждение о том, что такое NVD, — это представление о нём как об активном сканере, который исследует окружающую среду. Это не так. Национальная база данных уязвимостей NVD — это справочный набор данных, а не система обнаружения. Ваши сканеры, SCA Инструменты и агенты выполняют обнаружение. Затем они сопоставляют обнаруженное программное обеспечение и конфигурации с данными Национальной базы данных уязвимостей, чтобы определить, какие CVE применяются и насколько они серьёзны.

Заблуждение №3: Если этого нет в ПНВ, то это не проблема #

Это особенно опасно в software supply chain securityНе каждый риск проявляется как CVE, и не каждая уязвимость своевременно и в полной мере отражается в NVD. Исследования показали, как задержка анализа или отсутствие метаданных в NVD могут привести к появлению пробелов в работе организаций, особенно когда NVD является для них единственным источником достоверной информации. Для команд DevSecOps база данных должна пониматься как one критический вклад, а не вся история.ens.

Как эффективно использовать Национальную базу данных уязвимостей NVD в DevSecOps? #

Если вы используете современный pipelineВы не используете NVD вручную; ваши инструменты делают это за вас. Но вы всё равно можете разработать свою программу, основываясь на реалистичном представлении о том, что такое Национальная база данных уязвимостей и где она находится. Практический подход:

1. Рассматривать NVD как слой нормализации: Используйте инструменты, которые опираются на данные Национальной базы данных уязвимостей (NVD), чтобы CVE, уровень серьезности и продукты были согласованы при сканировании, создании отчетов и dashboards.
2. Объедините ПНВ с рекомендациями поставщиков и используйте разведданные: Поскольку обогащение Национальной базы данных уязвимостей NVD может отставать, необходимо учитывать рекомендации поставщиков, разведданные об угрозах и использовать каналы для заполнения пробелов и расставьте приоритеты в отношении реальных рисков.
3. Передача данных с ПНВ в CI/CD: Интеграция сканеров и SCA инструменты, которые используют его в вашем pipelineпоэтому новые сборки перед развертыванием проверяются на наличие актуальных данных об уязвимостях.
4. Сопоставьте данные ПНВ с SBOMs и графики зависимостей: Для обеспечения безопасности цепочки поставок подключитесь SBOMs и зависимости сопоставляются с записями NVD. Это позволяет быстро ответить на вопрос: «Какие pipelineи услуги затронуты этой CVE?»

5. Примите во внимание ограничения, особенно для вредоносных пакетов: Базы данных, ориентированные на CVE, фокусируются на выявленных уязвимостях, а не обязательно на вредоносных пакетах или защищённых компонентах в публичных реестрах. Именно здесь используются дополнительные инструменты (например, Ксигени или другие платформы безопасности цепочки поставок) улавливают то, что ПНВ не может охватить самостоятельно.

Место NVD в современной стратегии уязвимости? #

Итак, возвращаясь назад: что это такое в стратегическом плане?

• Высота купола составляет XNUMX метра, который является справочный каталог большая часть отрасли использует его для описания и оценки уязвимостей.
• Кокаин проходит standardисточник данных на основе s который позволяет инструментам говорить на общем языке о рисках.
• Это существенный вклад в управление уязвимостями, DevSecOps и программы соответствия.
• Это не сканер, а не полный система раннего оповещенияи не является заменой безопасности цепочки поставок или разведданных.

Если вы основываете свой управление уязвимостями В базе данных NVD вы в хорошей компании: почти все остальные тоже. Секрет в том, чтобы воспринимать Национальную базу данных уязвимостей NVD как краеугольный камень, а не как всё здание.

Используйте его для нормализации, оценки и покрытия. Дополните его рекомендациями поставщиков, данными об эксплойтах и ​​специальными рекомендациями. software supply chain securityИ убедитесь, что ваш DevSecOps pipelineа не только ваши квартальные отчеты, потребляйте и реагируйте на то, что вам сообщает Национальная база данных об уязвимостях.

Вот так ответ на вопрос о том, что такое Национальная база данных уязвимостей, из сухого определения превращается в нечто, что фактически определяет то, как вы поставляете и защищаете программное обеспечение.