2026年、サイバーセキュリティ専門家はCVEやNVDなどの西側システムに対する懸念が増加する中、グローバルな脆弱性データベースを精査している。中国の並行データベースであるCNVDとCNNVDは、国際標準と比較して開示慣行、タイムライン、データ品質に大きな違いを明らかにしている。
中国は2つの異なる国家脆弱性データベースを運営している:CNCERT が防御警告用に管理する 中国国家脆弱性データベース(CNVD)と、国家安全保障省傘下のCNITSECが運営する中国情報セキュリティ国家脆弱性データベース(CNNVD)である。これらのシステムは多くのCVEを反映しているが、独自のIDを使用し、相互参照がない。
2021年の政策である「ネットワーク製品セキュリティ脆弱性管理規制(RMSV)」は、発見から48時間以内に工業情報化部に欠陥を報告することを義務付け、パッチ前の詳細またはエクスプロイトの開示を禁止し、重大度の誇大表現を禁止している。
アクセスにはログインが必要で、XMLファイルの手動ダウンロードが必要である。これらのファイルには明らかな手動入力によるパースエラーが含まれていることが多い。
成長はMITREのCVEリストと密接に一致しているが、重大度カテゴリはCVSSと若干異なり、統計的なばらつきが見られる。
CNVDは投稿と公開のタイムスタンプを含み、90%が1週間以内に公開されていることを示している。同時に、CNNVDはCWEと類似しているが異なる脆弱性タイプを備えている。
2011年以降のCVEの分析では、中国のデータベースはほとんどのエントリをCVE/NVDと同時またはその後に公開しているが、CNNVDの0.55%とCNVDの0.18%がそれより前にあり、合計約1,400件で、しばしば数ヶ月早い。CNNVDは84%の時間で1週間以内に対応し、CNVDは27%である。例を挙げると:
初期の中国のエントリーは低い重大度に傾いており、西側ソースへの後の依存を示唆している。
CVEフィールド内のタイプミス(例えば、間違ったダッシュ)と日付の不一致は手動プロセスを示し、マッチングを複雑にしている。非CVEエントリはRMSV後、特にCNVDで削除され、おそらく国内の欠陥または中国固有のソフトウェアリスクを隠している。
重大度分布はポリシー後も安定しているが、CNNVDは完全性を改善した。歴史的に、CNNVDはしばしばNVDを上回っており(平均13日対33日)、高脅威の脆弱性に関する過去のデータ変更が記されている。
CVEはCVSS、CWE、CPEを通じて標準化された機械可読データを提供するが、中国の統制的なアプローチは国家安全保障を優先し、グローバルな認識を遅延させる可能性がある。
組織は包括的なリスク管理のために非西側データベースを監視すべきであり、特にCVEの資金調達の懸念がある中でもそうである。将来のNLPマッチングはより多くのエントリをリンクでき、多様化されたインテリジェンスソースを促すことができる。
翻訳元: https://cyberpress.org/chinas-vulnerability-disclosure-discrepancies/