美國網絡安全與基礎設施安全局(CISA)本周發布了一個名爲“Vulnrichment”的漏洞信息富化項目，爲常見漏洞和披露(CVE)記錄添加重要信息，幫助組織改善漏洞管理流程。

Vulnrichment項目將爲公共CVE記錄添加常見平台枚舉(CPE)、常見漏洞評分系統(CVSS)、常見弱點枚舉(CWE)和已知可利用漏洞(KEV)數據。CISA表示，他們已經完成了1300個CVE記錄的富化工作，尤其針對新近出現的漏洞，並呼籲所有CVE編號機構(CNA)在向CVE.org提交漏洞信息時提供完整的數據。

CISA表示，他們最初會采用利益相關者特定漏洞分類(SSVC)評分流程評估每個CVE記錄。SSVC評分方法是由CISA與卡內基梅隆大學軟件工程研究所合作開發，能夠綜合考慮漏洞的可利用狀態、安全影響以及受影響産品的普及度等因素進行漏洞分析。

對于影響重大、可自動化利用、擁有概念驗證漏洞利用代碼或已被用于攻擊的漏洞，CISA會在後續階段進行進一步的分析。

CISA指出，Vulnrichment項目添加的信息可以幫助組織優先開展漏洞修複工作、理解漏洞趨勢，並敦促廠商修複漏洞類別問題。Vulnrichment項目托管于GitHub平台，每個富化後的CVE條目均采用JSON格式提供，方便組織輕松將更新內容整合到漏洞管理流程中。

CISA是業界最早發布可利用漏洞的公共警告機構之一。其包含超過1100個已利用漏洞條目的KEV目錄已成爲漏洞管理的重要資源。

參考鏈接：

https://github.com/cisagov/vulnrichment