США сообщают о новых уязвимостях на 3 недели позже Китая

Национальная база данных об уязвимостях (NVD), поддерживаемая правительством США, более чем вдвое отстает по срокам информирования о новых уязвимостях от аналогичной базы данных правительства Китая (CNNVD). Об этом сообщается в новом исследовании компании Recorded Future. Ее специалисты установили, что в китайской базе данных информация о новых киберуязвимостях появляется в среднем через 13 дней после сообщения о них, тогда как в американской – только через 33 дня. Таким образом, частные компании и государственные организации, подписанные на CNNVD, имеют в своем распоряжении почти на три недели больше времени, чтобы устранить эти уязвимости, чем подписчики NVD.

Ранее исследователи Recorded Future уже установили, что свыше 75 процентов всех существующих уязвимостей раскрываются в глобальной сети раньше, чем публикация о них появляется в NVD. Главной причиной такого положения дел служит то, что NVD в своей работе опирается на сообщения исследователей и разработчиков. Которые, в свою очередь, должны предварительно присвоить и утвердить уникальный идентификационный код для каждой уязвимости. Эта цепочка формальностей в значительной степени тормозит процесс. Впрочем, эксперты отмечают, что крупный бизнес уже и не полагается на NVD как на источник оперативной информации о новых уязвимостях, предпочитая обращаться к намного более расторопным коммерческим сервисам.