干货！构建高质量漏洞库的探索与实践

文章预览

中国电信安全公司（下文简称：电信安全）与复旦大学合作的高质量漏洞库为电信安全“洞观”软件供应链安全管理平台（简称：洞观平台）提供最新漏洞库等基础信息的更新，确保洞观平台获得最及时、最完整、最准确的漏洞、组件、组件与漏洞映射关系等信息， 助力洞观平台对软件开源组件安全风险的及时发现与高效治理 。此外，该高质量漏洞库也将广泛应用于中国电信内、外部其他产品对漏洞库的需求场景。 背景 漏洞数量激增，漏洞库中新漏洞积压， 面临供应链风险 已有漏洞信息完整性欠佳 漏洞数据库虽然收集了大量漏洞信息，但仍存在未及时发现或报告的情况，导致信息不完整。据统计，约 有59.8%的CVE缺乏对漏洞治理至关重要的补丁信息 。 新漏洞积压 以NVD为例，根据NIST的数据，五月份收到的2000个新CVE中只有两个得到了专家的分析 ………………………………