当人们问起什么是国家漏洞数据库(National Vulnerability Database,简称NVD)时,他们指的是美国政府官方的漏洞数据库,该数据库整合并丰富了已公开披露的安全漏洞数据。国家漏洞数据库由美国国家标准与技术研究院(NIST)运营。 Standards 和技术)并建立在 standard如 CVE, CVSS、CPE 和 SCA简而言之,NVD 国家漏洞数据库采用原始漏洞标识符 (CVE) 并添加:
- 严重程度评分(CVSS)
- 影响指标
- 产品和版本映射(CPE)
- 参考公告、补丁和供应商说明
- 与潜在弱点相关的联系(CWE)
因此,如果 您的扫描仪, SCA 工具 或 风险 dashboard 如果向您展示已排名和评分的漏洞,那么很可能背后有 NVD 数据在驱动。这就是国家漏洞数据库的核心:一个经过丰富和完善的漏洞数据库。 standard一个可供其他工具和流程自动使用的已定义漏洞目录。如果我们不了解分布式环境下的数据丢失防护是什么,最终会发现一些盲点。cis攻击者最容易得手的地方。
国家漏洞数据库 (NVD) 中实际存储了哪些数据? #
为了更好地理解国家漏洞数据库(NVD)对 DevSecOps 的意义,有必要先分析它实际存储和发布的内容:
- 基于 CVE 的漏洞条目: 国家漏洞数据库中的每条记录都对应一个 CVE ID,并包含更详细的描述、受影响的产品和技术参考资料。
- 严重程度和影响信息: NVD 国家漏洞数据库分配 CVSS 分数(v2/v3)、影响指标,有时还会分配可利用性详细信息,工具会利用这些信息来确定修复的优先级。
- 产品和配置映射: NVD 通过 CPE 标识符将漏洞与特定供应商、产品和版本关联起来,并提供配置清单以支持安全基线。
- 弱点分类(CWE): 条目通常会引用 CWE,这些 CWE 代表底层编码或设计缺陷,为安全编码和应用安全计划提供有用的上下文。
- API 和数据源: 数据库公开 JSON 数据源和 API,以便工具可以自动将漏洞数据、评分和供应商评论同步到系统中。 dashboards、扫描仪和 CI/CD pipelines.
从 DevSecOps 的角度来看,国家漏洞数据库不就是所有这些工具用来一致地讨论漏洞的通用语言吗?
为什么 DevSecOps 团队需要关注 NVD? #
对于 DevSecOps 和 AppSec 团队而言,NVD 国家漏洞数据库与其说是一个网站,不如说是一个嵌入到他们整个工具链中的隐式依赖项。
SCA 工具、容器扫描器、操作系统软件包扫描器、基础设施扫描器等等。 CI/CD 安全性 使用国家漏洞数据库 (NVD) 可以:
- 将 CVE ID 解析为有意义的描述
- 拉取严重性评分和可利用性指标
- 将漏洞映射到特定的库版本或镜像
- 将风险数据输入票务系统和指标体系 dashboards
因此,关于“什么是国家漏洞数据库”的问题,实际上是关于“我们的漏洞发现来自哪里,我们能信任它们吗?”的问题。了解国家漏洞数据库 (NVD) 有助于解释为什么一个很小的库更新会突然触发你的漏洞检测。 dashboard或者说,为什么有些问题即使看起来很模糊,也显得风险很高。
关于NVD的常见误解 #
就像供应链攻击或恶意软件包一样,人们对国家漏洞数据库是什么以及它能做什么或不能做什么存在一些误解。
误解一:NVD是实时且完整的 #
许多人认为NVD始终针对所有CVE进行更新。实际上,NVD会执行…… 丰富 步骤:它会获取基本的 CVE 记录,并添加评分、产品映射和其他元数据。这些额外的工作需要时间,尤其自 2024 年以来,导致了众所周知的积压工作,并造成了对新漏洞进行全面分析的延迟。对于 DevSecOps 团队而言,这意味着您在工具中看到的某些 CVE 可能很快会显示部分数据,或者需要一段时间才能显示完整的上下文信息。NVD 国家漏洞数据库权威可靠,但并非即时更新。
误解二:NVD 是一个漏洞扫描器 #
另一个关于NVD的常见误解是将其视为主动扫描器,会探测您的环境。事实并非如此。国家漏洞数据库(NVD)是一个…… 参考数据集,不是检测引擎。你的扫描仪, SCA 工具和代理执行漏洞发现。然后,它们将检测到的软件和配置与国家漏洞数据库中的数据进行比对,以确定适用哪些 CVE 以及它们的严重程度。
误区三:如果不在夜视仪里,就不是问题。 #
这在以下情况下尤其危险: software supply chain security并非所有风险都会以 CVE 的形式出现,也并非所有漏洞都能及时完整地在 NVD 中得到补充。研究表明,NVD 中分析的延迟或元数据的缺失会导致组织出现信息缺口,尤其是在组织将 NVD 作为其唯一信息来源的情况下。 对于DevSecOps团队来说,必须将数据库理解为: 一种 关键信息,而非全部事实。
如何在 DevSecOps 中有效使用 NVD 国家漏洞数据库? #
如果你运行的是现代系统 pipeline因此,您无需手动使用国家漏洞数据库 (NVD);您的工具会自动完成这项工作。但您仍然可以基于对国家漏洞数据库及其定位的现实理解来设计您的程序。一种实用的方法:
- 将 NVD 视为归一化层: 使用依赖于国家漏洞数据库 (NVD) 数据的工具,以确保扫描、报告和分析过程中 CVE、严重性和产品信息的一致性。 dashboards.
- 将NVD与厂商建议和漏洞情报相结合: 由于国家漏洞数据库 (NVD) 的完善可能存在滞后,因此需要引入厂商公告、威胁情报和漏洞利用信息源来填补空白。 优先考虑现实世界的风险.
- 将基于 NVD 的数据传输到 CI/CD: 集成扫描仪和 SCA 将其融入你的工具 pipeline因此,新版本在部署前会根据最新的漏洞数据进行检查。
- 将 NVD 数据映射到 SBOMs 和依赖关系图: 为了供应链安全,请连接 SBOMs 和依赖关系映射到 NVD 条目。这使您可以快速回答:“哪个 pipeline服务是否受到此次CVE的影响?
5. 要认识到自身的局限性,尤其是在恶意软件防护方面: 以 CVE 为中心的数据库侧重于已披露的漏洞,而不一定关注公共注册表中的恶意软件包或后门组件。这就是补充工具(例如 西吉尼 或其他供应链安全平台)弥补 NVD 自身无法覆盖的内容。
NVD 在现代漏洞策略中的作用? #
那么,让我们回到最初的问题:从战略角度来看,它是什么?
- 它是 参考目录 业内大多数机构都使用这种方法来描述和评估漏洞。
- 而是一种 standard基于 s 的数据源 这使得各种工具能够用共同的语言来描述风险。
- 它是一个 必要投入 至 漏洞管理DevSecOps 和合规计划。
- 这是 不会 扫描仪,而非完整版 预警系统并且不能替代供应链安全或漏洞利用情报。
如果你以此为基础 漏洞管理 关于 NVD 数据库,你并不孤单:几乎所有人都和你一样。关键在于要将 NVD 国家漏洞数据库理解为基石,而不是整个体系。
可将其用于标准化、评分和覆盖率。并可结合厂商公告、漏洞利用数据和专用数据进行增强。 software supply chain security并确保你的DevSecOps pipeline不仅仅是你的季度报告,还要认真对待国家漏洞数据库所传达的信息并做出反应。
这样就能将“什么是国家漏洞数据库”这个问题的答案,从枯燥的定义,变成真正能够影响软件交付和安全保障方式的东西。
