3.2国家漏洞数据库

漏洞有助于指导软件生产者和消费者降低风险，并为行业提供广泛的关于生态系统中存在的漏洞的知识。虽然行业中有多个漏洞数据库，但最著名的例子之一是NIST的国家漏洞数据库（NVD; https://nvd.nist.gov）。NVD是一个综合性的网络安全漏洞数据库，整合了所有公开的美国政府漏洞资源，并提供了对行业资源的引用。

NVD于2005年正式成立（https://nvd.nist.gov/general/brief-history）。NVD的起源可以追溯到1999年，其前身是互联网攻击工具分类（ICAT）。ICAT最初作为一个攻击脚本数据库开发，涉及SANS研究所的学生作为项目分析员。ICAT面临一些资金挑战，但在SANS以及NIST员工的努力下得以存续。在获得美国国土安全部（DHS）的一些额外资金后，ICAT发展到超过10,000个漏洞，最终被重新命名为NVD，成为如今的NVD。随着项目的发展，NVD采用了仍在使用的流行漏洞数据和评分系统，例如通用漏洞评分系统（CVSS）和通用平台枚举（CPE；https://nvd.nist.gov/products/cpe）。

截至本文撰写时，NVD包含超过200,000个漏洞，并且这个数字还在不断增长，因为新的漏洞不断出现。NVD被全球对漏洞数据感兴趣的专业人士以及希望关联漏洞发现及其详细信息的供应商所使用。

NVD通过分析已在CVE字典中发布的CVE来促进这一过程。通过参考CVE字典并进行额外分析，NVD的工作人员生成关于漏洞的重要元数据，包括CVSS评分、通用弱点枚举（CWE）类型和以CPE形式表示的适用性声明。值得注意的是，NVD工作人员不进行漏洞测试，而是利用供应商和第三方安全研究人员的见解和信息来创建这些属性。随着当前信息的出现，NVD经常修订元数据，例如CVSS评分和CWE信息。

NVD整合了来自CVE项目的信息，CVE项目是我们将在本章后面“CPE”部分讨论的漏洞字典。在NVD中集成新发布的CVE后，NVD通过严格的分析过程评估这些CVE，包括审查CVE的参考资料，这些参考资料涵盖了互联网上公开可用的信息。CVE被分配一个或多个CWE标识符，以帮助分类漏洞，并通过CVSS分配可利用性和影响指标。适用性声明通过CPE提供，以确保通过这些适用性声明识别特定版本的软件、硬件或系统。这有助于组织采取适当的行动，取决于漏洞是否影响他们正在使用的特定硬件和软件。一旦完成初步分析和评估，任何分配的元数据（如CWE、CVSS和CPE）都由高级分析师进行质量保证审核，然后发布在NVD网站和相关数据源上。

NVD提供丰富的数据源（https://nvd.nist.gov/vuln/data-feeds）和API（https://nvd.nist.gov/developers/start-here），供组织和个人获取已发布的漏洞数据。API允许相关方以更加自动化和可扩展的方式程序化地获取漏洞信息，而不是手动查看数据源。NVD API经常更新且可搜索，包括其他好处，如数据匹配，并且通常被安全产品供应商用来作为其产品提供的一部分，提供漏洞数据。