网络安全领导者依赖漏洞数据来指导决策,但提供这些数据的系统正面临严峻挑战。Sonatype 的分析报告显示,核心漏洞评分体系已无法满足当前软件环境对一致性和时效性的需求。
滞后的评分体系
虽然 CVE 项目仍是行业命名的基石,NVD(国家漏洞数据库)也依旧是严重性评级的主要来源,但这些工具是为软件发布周期较慢的时代设计的。它们难以适应持续部署、重度依赖组件和自动化开发流程的现代环境。
2025 年,64%的开源组件 CVE 在 NVD 中没有 CVSS 评分。安全团队不得不在承担高风险与自行填补数据空白之间做出抉择。Sonatype 对缺失评分的漏洞进行评估后发现,近半数属于高危或严重级别,这表明缺乏评分往往会掩盖真实风险。
即便存在严重性评分,不同数据源之间也缺乏一致性。仅有 19% 的 CVE 严重性分类与 Sonatype 的分析结果相符,62% 存在夸大风险的情况,其余则低估了风险,导致实际威胁未被识别。
这些矛盾影响着扫描工具、SBOM(软件物料清单)流程和自动化修复系统。当错误数据驱动自动化决策时,问题会迅速扩散。Sonatype 发现了近 2 万个误报案例和超过 15 万个漏报案例——误报浪费处置时间,漏报则放任漏洞存在于生产环境,两者都会削弱安全团队对数据的信任度。
迟缓的评分拖累响应效率
时效性是另一大缺陷。2025 年,漏洞公开披露到获得 NVD 评分的平均延迟达 6 周,部分 CVE 甚至等待超过 50 周。而漏洞利用 PoC 往往在几小时内就会出现,维护者通常在数日内发布补丁。延迟数周才出现的评分对快速响应几乎毫无价值。
2024 年 NVD 评分输出停滞数月的事件,暴露出评分流程的脆弱性。即便运营恢复后,积压问题仍未得到解决。
影响远超安全团队范畴
合规流程默认 CVE 数据具有完整性,构建系统根据 CVE 信息决定是否允许组件使用,平均修复时间等战略指标也依赖可能失真的严重性分级。
近期软件供应链事件(如 Log4Shell 和 XZ Utils)清晰展现了这些缺陷。在这些事件中,社区在官方评分发布前就已理解威胁并实施缓解措施。当前的威胁环境需要快速研判能力,但现有体系并非为此设计。
Sonatype 首席技术官 Brian Fox 指出:"CVE 项目从未考虑现代软件开发的规模和速度需求。这在开源领域已是事实,在 AI 时代更为凸显。漏洞情报必须从索引历史数据,转向实时洞察实际运行环境中的风险。"
数据质量问题的根源
报告揭示了导致不一致性的多重原因:部分维护者为图省事发布宽泛的受影响版本范围;有些则直接排除已停止支持的旧版本,尽管许多组织仍在使用这些版本。
研究人员也可能在快速发布 CVE 后便不再跟进。一旦获得漏洞编号,就缺乏动力去完善版本范围或评分细节。这些看似微小的疏漏累积起来,最终导致系统性偏差。
信息来源:51CTO https://www.51cto.com/article/830331.html
