Как сделать из одной мухи пять слонов. Инструкция от составителей базы CVE
NewsMakerКак эксперты пугают нас дутыми цифрами
Почти 50 тысяч уязвимостей за год звучат тревожно. Но за громкой цифрой скрывается путаница. Далеко не каждая запись CVE описывает реальную проблему безопасности, и сама статистика часто вводит в заблуждение.
В 2025 году опубликовали более 48 тысяч записей CVE – это общепринятые идентификаторы уязвимостей. При этом база VulnDB насчитала 44 146 реальных проблем. Разница в несколько тысяч говорит о простом факте: не каждый CVE описывает отдельную уязвимость.
Причин несколько. Первая связана с тем, как присваивают номера. Префикс CVE не обязан совпадать с годом публикации. Организация MITRE не требует строгой привязки к дате раскрытия, а сама дата раскрытия в системе не фиксируется. В итоге невозможно точно сказать, сколько новых уязвимостей нашли именно за конкретный год.
Вторая причина – разный подход к описанию одной и той же проблемы. Один специалист может оформить находку как одну уязвимость, другой разобьёт на несколько, третий сочтёт дубликатом. У MITRE нет единой политики, которая бы задавала такие правила, поэтому многое зависит от тех, кто отправляет заявку на получение CVE.
Почти 50 тысяч уязвимостей за год звучат тревожно. Но за громкой цифрой скрывается путаница. Далеко не каждая запись CVE описывает реальную проблему безопасности, и сама статистика часто вводит в заблуждение.
В 2025 году опубликовали более 48 тысяч записей CVE – это общепринятые идентификаторы уязвимостей. При этом база VulnDB насчитала 44 146 реальных проблем. Разница в несколько тысяч говорит о простом факте: не каждый CVE описывает отдельную уязвимость.
Причин несколько. Первая связана с тем, как присваивают номера. Префикс CVE не обязан совпадать с годом публикации. Организация MITRE не требует строгой привязки к дате раскрытия, а сама дата раскрытия в системе не фиксируется. В итоге невозможно точно сказать, сколько новых уязвимостей нашли именно за конкретный год.
Вторая причина – разный подход к описанию одной и той же проблемы. Один специалист может оформить находку как одну уязвимость, другой разобьёт на несколько, третий сочтёт дубликатом. У MITRE нет единой политики, которая бы задавала такие правила, поэтому многое зависит от тех, кто отправляет заявку на получение CVE.