核心概念
國家漏洞資料庫是一個主要的漏洞資料庫,為所有人免費使用。雖然它受到廣泛關注,但對其在漏洞管理中的使用情況、使用者的態度以及他們在使用過程中遇到的問題知之甚少。
摘要
本研究通過初步訪談研究和後續調查,探討了這些問題。
結果顯示,國家漏洞資料庫被定期諮詢,並且經常有助於決策。總的來說,使用者對國家漏洞資料庫持正面態度,並認為它是一個有用且結構清晰的工具。但使用者也遇到了一些問題,如條目缺失或不正確、描述不完整或難以理解的CVSS評級。
為了確定問題的根源,我們與兩名高級國家漏洞資料庫成員進行了討論。許多問題可以歸因於更高層面的問題,如CVE清單或資源有限。儘管如此,國家漏洞資料庫正在努力改善現有的問題。
統計資料
國家漏洞資料庫經常被諮詢,並且經常有助於決策。
使用者總體上對國家漏洞資料庫持正面態度,並認為它是一個有用且結構清晰的工具。
使用者遇到的問題包括條目缺失或不正確、描述不完整或難以理解的CVSS評級。
這些問題可以歸因於更高層面的問題,如CVE清單或資源有限。
引述
"國家漏洞資料庫是漏洞資訊的標準資料庫,每個人都在使用它作為指南。"
"與CISA的工作關係有時很有挑戰性,因為他們的領導層經常變動。"
"從一個CNA到另一個CNA,輸入的內容可能差異很大。"