専門家はCVEデータベースの有効性に疑問を呈しました

2019/11/30 セキュリティーニュース
logo

CVE脆弱性データベースを使用するITの専門家は、全ての問題のほぼ3分の1を見逃しています。

 

専門家は、システムの脆弱性を診断する際にCVEデータベースだけに頼らないように助言しました。 このようなソリューションは、ITの専門家がすべての脆弱性のほぼ3分の1を見逃しているという事実につながります。

 

Jake Kounsの共同設立者によると、会社がCVEデータベースのみを使用している場合、検出された脆弱性の少なくとも33%が完全に未知の脆弱性である可能性があります。

 

同社によれば、問題は、MTREチームが基本的に研究者または製造業者がCVE識別子を割り当てる脆弱性について組織に通知するまで待つということです。したがって、専門家が問題を報告せず、CVEを要求しない場合、脆弱性は全く登録されません。その代わりに、その情報は、BitBucket, SourcForge, GitHubなどのほかのデータベースに登録されます。

 

多くのCVEは長期間「予約済み」状態のままです。セキュリティ上の理由でCVEの詳細がまだ公開されていない場合、CVEは予約されています。ただし、研究者がWebで脆弱性情報を公開した後でも、CVEの更新は遅すぎます。

 

CVEプロジェクトは先月20周年を迎え、2017年までに、それまでに比べて128%脆弱性の数は増加し、毎年ますます増えている状況です。その結果、問題の処理が遅くなったと報告書は述べています。

 

記事提供元: http://www.securitylab.ru
翻訳: Kazunori Yoshida