網絡安全公司Recorded Future發布的研究報告顯示，中國國家信息安全漏洞庫（CNNVD）的平均效率比美國計算機應急響應小組（U.S.-CERT）高出近兩倍。軟件漏洞公開披露后，美國CERT平均花費33天時間完成編目程序，并在美國國家漏洞庫（NVD）創建條目，而中國CNNVD完成這些流程的平均時間僅為13天。

Recorded Future分析了NVD和CNNVD兩年的漏洞報告數據。研究人員寫到，75%初次披露的漏洞6天內被CNNVD收錄，而美國NVD得花20天時間。90%的漏洞在初次披露后的18天內被CNNVD收錄，而NVD則要用92天。

協調披露的情況下（只有向NVD報告后才公開發布），CNNVD也只稍微比美國滯后。

當廠商未與NVD密切協調時，NVD要花38天時間報告75%的公開漏洞，125天收錄90%的漏洞，而CNNVD分別花費的時間為7天和23天。

研究人員列舉了兩大案例，例如提權漏洞“臟牛”（CVE-2016-5195）。研究人員發現該漏洞后于2016年10月19日披露，2天內，多個信息安全來源也立即披露漏洞，最初的報告被翻譯為俄語發布在俄羅斯犯罪論壇上。6天之后，PoC代碼出現在Pastebin上。11月10日，NVD初步公開此漏洞，而在這兩周之前就已出現可能的漏洞利用代碼。CNNVD在初次披露后兩天便披露了該漏洞，比NVD超前20天。

　　哪怕幾天時間高危漏洞都可能帶來重大影響。

黑客在Equifax數據泄露中利用的漏洞CVE-2017-5638，其最初公開（Apache Software Foundation）時間為2017年3月7日，多個來源很快披露了此漏洞。 NVD于3月10日收錄了該漏洞，而3月7日至3月10日這三天，就已在各處披露了數百次。CNNDV披露此漏洞的時間為3月7日。

Recorded Future通過分析后總結稱，之所有出現如此大的差距是因為CNNVD主動搜索網絡和其它信息來源，查找漏洞信息，而NVD則會等待廠商的報告通過通用漏洞披露（CVE，由MITRE公司管理）數據庫進行處理。

NVD網站寫到，NVD會分析已在CVE字典中發布的CVE。研究人員發現，中國通過網絡上廣泛的漏洞信息來源及時優先披露，并不依賴行業自愿報告。相較而言，美國系統太過死板。

研究總結稱，NVD之所以延遲數周、數月，其原因在于NIST和MITRE等待廠商自愿提交漏洞相關信息。MITRE負責管理進程，但不會強制及時提交到CVE字典。NVD將CVE字典作為唯一來源，其最終結果是美國政府根本不具備全面的網絡安全漏洞數據庫。

報告全文：
https://www.recordedfuture.com/chinese-vulnerability-reporting/