美國(guó)國(guó)家信息安全漏洞數(shù)據(jù)庫(kù)（簡(jiǎn)稱(chēng)NVD）是目前最為出色的可利用軟件安全缺陷信息披露平臺(tái)之一，使用的是安全內(nèi)容自動(dòng)化協(xié)議(SCAP)。NVD包括數(shù)據(jù)庫(kù)與安全相關(guān)的軟件缺陷，錯(cuò)誤配置，產(chǎn)品名稱(chēng)，影響范圍等等。目前參與漏洞披露流程的各主要廠商包括谷歌、蘋(píng)果、微軟以及甲骨文等核心技術(shù)企業(yè)。

根據(jù)美國(guó)網(wǎng)絡(luò)安全與暗網(wǎng)情報(bào)企業(yè)Recorded Future公司的研究結(jié)果顯示，在發(fā)現(xiàn)可資利用的軟件漏洞到相關(guān)信息最終發(fā)布之間，NVD面臨著約七天的滯后時(shí)長(zhǎng)，并且據(jù)Recorded Future公司分析這個(gè)時(shí)間仍在延長(zhǎng)。

Recorded Future公司首席數(shù)據(jù)科學(xué)家比爾·萊德在接受采訪(fǎng)時(shí)解釋稱(chēng)，“盡管?chē)?guó)家安全漏洞數(shù)據(jù)庫(kù)在很大程度上能夠作為安全漏洞信息的核心來(lái)源，但實(shí)際情況是，在NVD發(fā)布漏洞相關(guān)信息之前，大量漏泄資訊早已得到披露。目前網(wǎng)絡(luò)安全敵對(duì)陣營(yíng)正對(duì)此進(jìn)行監(jiān)控并利用。”

也就是說(shuō)，在NVD發(fā)布漏洞相關(guān)信息之前，大量漏泄資訊早已得到披露。對(duì)網(wǎng)絡(luò)攻擊者而言，七天時(shí)間也足夠其充分對(duì)漏洞進(jìn)行利用并實(shí)現(xiàn)入侵。

Recorded Future公司的報(bào)告指出，2016年到2017年的統(tǒng)計(jì)數(shù)據(jù)表明，NVD約有75%的共享漏洞曾被其它方面首先披露。其中25%的軟件漏洞至少存在50天的披露間隔，而10%的軟件漏泄在間隔方面甚至超過(guò)170天。目前仍存在超過(guò)500項(xiàng)早在2016年就被首先公布，但目前NVD仍未正式發(fā)表的CVE漏洞。

有時(shí)候，這些漏洞信息會(huì)被搶先發(fā)布在地下論壇當(dāng)中，而此類(lèi)地下論壇則身處暗網(wǎng)之內(nèi)。眾多犯罪分子在這里分享如何入侵特定系統(tǒng)的敏感信息。

Recorded Future公司發(fā)現(xiàn)，2016年至2017年期間，約有5%的NVD已發(fā)布漏洞曾在深網(wǎng)與暗網(wǎng)中進(jìn)行過(guò)詳盡披露。

從漏洞被初步發(fā)現(xiàn)到相關(guān)信息的具體披露，其實(shí)際時(shí)間與速度會(huì)受到多種不同因素的影響。一般來(lái)說(shuō)，安全漏洞的嚴(yán)重程度，即可資利用的范圍以及易受此影響的受眾規(guī)模，會(huì)在很大程度上決定信息共享的速度。

萊德解釋稱(chēng)，“NVD在漏洞信息發(fā)布速度方面的遲緩正在（間接）傷害各類(lèi)企業(yè)。深網(wǎng)與暗網(wǎng)中的漏洞披露總是能夠走在NVD前面，如今網(wǎng)絡(luò)惡意分子的不斷復(fù)雜化，給企業(yè)和社會(huì)帶來(lái)更多的不確定威脅。企業(yè)需要掌握整體性安全態(tài)勢(shì)感知，并利用NVD上發(fā)布的內(nèi)容實(shí)現(xiàn)自我保護(hù)。盡管目前已經(jīng)存在大量共享信息，但其在內(nèi)容的協(xié)調(diào)方面仍然做得不夠理想。”

同時(shí)，美國(guó)政府的漏洞信息共享模式面臨著一系列挑戰(zhàn)，例如目前一部分工作仍然需手動(dòng)方式處理。

因此，企業(yè)及各政府機(jī)構(gòu)不應(yīng)依賴(lài)NVD作為了解自身網(wǎng)絡(luò)基礎(chǔ)設(shè)施、產(chǎn)品、數(shù)字化服務(wù)以及其它業(yè)務(wù)流程所面臨新興風(fēng)險(xiǎn)的最快捷方式。企業(yè)需要掌握整體性安全態(tài)勢(shì)感知，并利用NVD上發(fā)布的內(nèi)容實(shí)現(xiàn)自我保護(hù)。