威胁情报公司Recorded Future本周发布了的一项研究表明：在公司企业接到被曝安全漏洞警告的速度方面，美国开始远远落后于中国。

美国政府的国家漏洞数据库(NVD)，落后于中国的国家漏洞数据库(CNNVD)——漏洞报告从提交到收录进中心数据库的平均时间，分别是33天和13天。换句话说，在中国，订阅了CNNVD的公司和其他组织，在漏洞细节被提交后，平均13天内即可收到警报，而在美国，订阅了NVD的用户却要等33天才收到。

与美国的NVD不同，中国的CNNVD不涉及管理全球漏洞披露，但其2倍速于北美同行的漏洞平均警报速度，很好地克服了这一潜在弱点。

因为依赖厂商提交和相关组织为漏洞分配唯一ID号(CVE)，NVD漏洞公布动作往往会延迟数天乃至数周。相形之下，中国通过结合广泛的在线源，来达成及时披露新发现漏洞的效果。美国政府纠结于官方过程，中国则专注关键目标：检测新漏洞动向，披露关于新漏洞的警告。

Recorded Future的结论是：如果想抢在黑客知悉漏洞细节并加以利用之前，警告IT部门、政府机构和用户新威胁来袭，美国的漏洞索引编撰者们就需要更加积极主动一些。该团队指出：

黑客和安全团队在漏洞利用和漏洞修复上比拼速度，这种时候，掌握最新漏洞信息就成了关键。美国NVD无疑是安全团队应能依赖的最新信息来源。

不幸的是，因为NVD依赖自愿提交，其更新往往落后于漏洞最初披露数周。该差距令NVD无法提供全面的漏洞覆盖。

NVD应扩展其使命，像其中国同行(CNNVD)一样主动收集漏洞信息。

　　NVD

　　CNNVD

比尔·拉德，Recorded Future 首席数据科学家。他认为，NVD应纳入中国CNNVD的内容，改善其表现。“目前，有1,746个CVE，是CNNVD中有，而NVD中不见踪影的。”

Recorded Future此前的一项研究还发现，超过3/4的漏洞早在NVD公布之前就在网上曝光了。

一方面，有个中心数据库存放漏洞和补丁信息与警报，是非常有用的。另一方面，这项工作并不容易，且私营信息安全公司也可以为付费企业做相同的工作。

漏洞奖励先锋凯蒂·墨苏利斯称：“NVD由资源有限的小型团队运营。大多数需要实时漏洞信息的人都不依赖它。商业服务填补了这个角色。”

报告全文：

https://www.recordedfuture.com/chinese-vulnerability-reporting/