超过三分之一经过道德黑客审查的漏洞没有CVE 媒介

网络安全漏洞缺乏CVEs标记的现象

关键要点

Detectify在周四发布的报告中指出，其私有网络的道德黑客审查的漏洞中，有35没有被分配CVE。

研究人员补充说，尽管许多DevSecOps团队努力在生产前捕捉编码错误，但41的公司认为向左转移并不可行，另外58表示只能在特定情况下应用此策略。

虽然向左转移的过程仅花费几分钟，但Detectify的研究人员表示，在生产过程中解决严重漏洞可能需要数小时，这无疑增加了风险。

这项研究的发布正值Detectify推出其定制策略概览这一新工具，它由精英道德黑客驱动，旨在让组织在整个攻击面上实施自定义安全策略，从而改善安全态势。此自动化解决方案将允许组织根据各种业务条件为每个资产设置可自定义的策略，发现违反公司政策的行为，并在关键漏洞成为可利用之前进行修复。

Viakoo首席执行官Bud Broomhead指出，这里存在某种循环推理：通过使用一组“精英道德黑客”，发现了非公开的漏洞。因此，Broomhead表示，私下披露的这些漏洞没有CVE分数也就不足为奇，因为CVE分数仅通过公开披露过程才能获得。他强调，专有的漏洞识别和评估方法永远不会是让安全团队在所有潜在攻击面上发现并修复漏洞的最佳答案。

“由于不参与CVE披露和CVSS评分流程，这些漏洞也不在CISA的已知利用漏洞KEV目录中，而该目录是安全团队提高效率的重要资源，”Broomhead表示。“评分永远是一个持续改进的过程，正如从CVSS 20到CVSS 30的变化所表明的那样。关于漏洞评分的过程和方法的进一步工作应考虑未通过CVE过程直接披露的漏洞。”

Vulcan Cyber的高级技术工程师Mike Parkin补充说，业界有一些最佳实践旨在最小化攻击面，即使面对可能未知或未记录的漏洞，比如仅允许访问严格所需的地址和端口。至于报告的漏洞没有得到CVE分数，这涉及到流程问题：是因为未能正确报告，或是尚未发布，还是因为它未被认为是有效漏洞？

“No security process is perfect including the shift left concept” Parkin说。“在高效开发、运营与安全之间，总是存在权衡。这里的政策执行方法应该会有所帮助，并可能成为风险管理程序的有价值补充。”