面对越来越多的报告漏洞,NIST与外部咨询公司续签了一份商业合同,以帮助其掌握国家漏洞数据库(NVD).
NIST与总部位于马里兰州的分析公司签订了一份为期5年、价值1.
25亿美元的合同,涉及各种IT和安全相关工作.
上月底,该协议被修订[PDF],包括专门为清理NVD积压提供支持,自2月份以来,NVD积压的数据一直超出了NVD处理提交文件的能力.
NVD是一个中央储存库,全世界都在使用,也被山姆大叔用来处理产品中带有CVE标签的安全漏洞.
尽管NIST的一名发言人向《注册》证实,该机构是上周一份关于努力解决这一僵局的通知中提到的未具名获奖者,但网上提供的合同文件并没有直接说明NIST修改了Analyacy的NVD工作合同.
根据NIST上周的声明,它希望在未来几个月内达到2月份之前处理CVE的速度.
NIST预计,在本财年结束前,它应该会赶上并重新处理当前的CVE.
自2月份以来,NVD积压一直在稳步积累,当时NIST悄悄宣布正在努力改进其工具和方法,这可能意味着用户“暂时看到分析工作的延迟”.
然而,我们在3月份注意到的这一消息,随着备份变得更糟,很快就引起了人们的注意.
威胁情报公司VulnCheck最近报告称,截至上个月,自2月12日以来提交的漏洞中,超过93%仍未分析.
作为参考,VulnCheck指出(截至5月23日)自2月12日以来已有12720个新漏洞提交给NVD.
这是许多未分析的漏洞.
然而,尽管问题首次被发现已经有几个月了,但NVD停滞不前的原因和原因仍然不清楚.
当被问及是否从过去几个月试图清除堵塞的过程中收集到了什么信息时,国家统计局只向我们指出了从4月下旬开始的NVD计划的模糊更新,提供了部分解释.
然而,国家统计局当月表示,不断增长的积压是基于各种因素,包括软件的增加,因此是漏洞,以及跨部门支持的变化.
国家统计局在4月份重申,它正在寻找长期解决方案来应对涌入的漏洞报告,包括建立一个联盟…与此同时,所有人都在猜测2024年初突然出现大量CVE的真正原因是什么,但有一件事是肯定的.
这并不是因为NIST现有的员工没有做好他们的工作.
如果说有什么不同的话,那就是引入外部帮助更多地是默许NIST的工作人员已经超负荷工作.
最新的美国联邦政府预算将削减NIST近12%的资金,但这不太可能有帮助.
分析公司告诉我们,他们本周开始处理积压的工作,并将帮助NIST处理新的NVD提交.®.