전문가들은 CVE 데이터베이스의 효율성에 대해 회의적이며 조언 연구원은 시스템의 취약점을 검색할 때 이 위협 데이터베이스에만 의존하지 않아야 합니다..
에이회사 보고서에 명시된 s 위험 기반 보안, 이러한 솔루션은 IT 전문가는 거의 모든 취약점의 세 번째 그리워 할 것."귀하의 조직이 현재 CVE에 의존하고 있다면 (그리고 대부분은), 적어도 33% 공개된 모든 취약점 중 완전히 알려지지 않은 취약점”, — 보고서에서 회사의 공동 설립자 Jake Kouns가 말했습니다..
회사에 따르면, 문제는 MITRE 팀이 기본적으로 연구원이나 제조업체가 CVE 식별자를 할당하기 위해 취약점을 조직에 알릴 때까지 대기한다는 것입니다..
그러므로, 전문가가 문제를 보고하지 않고 CVE를 요청하지 않는 경우, 취약점은 데이터베이스에 전혀 입력되지 않습니다.. 대신, 그것에 대한 정보는 다른 데이터베이스에 입력됩니다, 예를 들면, Bitbucket, 소스포지, GitHub의, 또는 자체 제조업체의 데이터베이스에서.
또한 읽기: 티그는 PatchGuard 보호를 우회하는 PoC 익스플로잇을 만들었습니다.
보고서에 명시된 바와 같이, 많은 CVE가 오랫동안 "예약된" 상태로 유지됩니다.. 보안상의 이유로 CVE에 대한 세부 정보가 아직 게시되지 않은 경우 CVE가 예약됩니다..
하나, CVE는 세부 정보가 공개된 후에도 세부 정보를 처리하고 많은 버그에 대한 CVE 보고서를 업데이트하는 데 느립니다., 보고서 경고", - 기록 Infosecurity Magazine의 저자 Danny Bradbury.
비영리 CVE 프로젝트 전환 20 지난 달, 그리고 시간이 지남에 따라, 비교적 적은 수의 취약점을 다루었습니다.. 하나, 으로 2017, 포함된 취약점의 수는 다음과 같이 증가했습니다. 128%, 그리고 매년 점점 더.
조직의 팀이 더 많은 작업 부하에 직면함에 따라 문제 처리 속도가 느려짐, 보고서는 말했다. CVE 프로그램은 CVE 번호 부여 기관 (CNA), 보고된 보안 버그에 대해 CVE 번호를 부여할 수 있는 조직. Miter는 증가하는 버그의 양을 따라잡기 위해 열심히 노력하고 있습니다., 하지만 아무도 그것이 도전이라는 것을 부정하지 않을 것입니다..
