Забудьте про CVE. ИБ-шники заглянули в теневые реестры Китая и нашли сотни неизвестных Западу уязвимостей
NewsMakerМир привык слепо верить метрикам CVSS, но правила игры изменились.
В ИБ давно принято классифицировать уязвимости через CVE: брешь получила номер , дальше подтянулись оценка по CVSS, тип по CWE, список затронутых продуктов, и можно строить приоритеты для патчей. Но 2024 и 2025 годы показали, насколько хрупкой бывает эта цепочка, если один из ключевых узлов начинает сбоить.
Сначала, в феврале 2024 года, просела Национальная база уязвимостей США (NVD) , которую ведёт NIST. NVD много лет делала рутинную, но критически важную работу: брала записи из списка CVE и дополняла их тем, что нужно защитникам и сканерам, баллами CVSS, привязками к типам ошибок, списками затронутого софта и другими полями. На фоне замедления NVD признала, что у неё растёт хвост необработанных записей. Приоритет сместили на более свежие уязвимости, в первую очередь после 2018 года, но сам бэклог никуда не делся.
Почти следом случилась другая встряска, уже организационная. После конференции VulnCon 2025, где публично обсуждали будущее программы CVE и качество публикаций от организаций, которым разрешено выпускать CVE (их называют CNA), всплыла история о контракте Министерства внутренней безопасности США, который финансирует работу программы. Контракт вовремя не продлили, началась паника, вплоть до разговоров о разветвлении каталогизации уязвимостей на несколько независимых списков. В итоге кризис погасили, финансирование нашли, программа продолжила работу без остановки. Но сам факт оказался неприятным: отрасль слишком сильно привыкла считать, что MITRE и NIST всегда будут работать как опорные столбы, а выяснилось, что и у них бывают уязвимые места.
И вот недавно исследователь из Bitsight решил посмотреть шире : что происходит в государственных базах уязвимостей за пределами США, и особенно в Китае. Потому что у Китая их сразу две, и они живут по другим правилам.
В ИБ давно принято классифицировать уязвимости через CVE: брешь получила номер , дальше подтянулись оценка по CVSS, тип по CWE, список затронутых продуктов, и можно строить приоритеты для патчей. Но 2024 и 2025 годы показали, насколько хрупкой бывает эта цепочка, если один из ключевых узлов начинает сбоить.
Сначала, в феврале 2024 года, просела Национальная база уязвимостей США (NVD) , которую ведёт NIST. NVD много лет делала рутинную, но критически важную работу: брала записи из списка CVE и дополняла их тем, что нужно защитникам и сканерам, баллами CVSS, привязками к типам ошибок, списками затронутого софта и другими полями. На фоне замедления NVD признала, что у неё растёт хвост необработанных записей. Приоритет сместили на более свежие уязвимости, в первую очередь после 2018 года, но сам бэклог никуда не делся.
Почти следом случилась другая встряска, уже организационная. После конференции VulnCon 2025, где публично обсуждали будущее программы CVE и качество публикаций от организаций, которым разрешено выпускать CVE (их называют CNA), всплыла история о контракте Министерства внутренней безопасности США, который финансирует работу программы. Контракт вовремя не продлили, началась паника, вплоть до разговоров о разветвлении каталогизации уязвимостей на несколько независимых списков. В итоге кризис погасили, финансирование нашли, программа продолжила работу без остановки. Но сам факт оказался неприятным: отрасль слишком сильно привыкла считать, что MITRE и NIST всегда будут работать как опорные столбы, а выяснилось, что и у них бывают уязвимые места.
И вот недавно исследователь из Bitsight решил посмотреть шире : что происходит в государственных базах уязвимостей за пределами США, и особенно в Китае. Потому что у Китая их сразу две, и они живут по другим правилам.