Nedeni aşılmaz teknik borç, fon eksikliği, üçüncü bir neden veya bunların hepsi olabilir, NIST'in Ulusal Güvenlik Açığı Veri Tabanı (NVD) zorlanıyor ve bu durum güvenlik açığı yönetimi çabalarını etkiliyor.
Ne oldu?
NVD'yi CVE numaralı güvenlik açıkları hakkında bilgi kaynağı olarak düzenli olarak kullanan herhangi biri, 15 Şubat 2024'ten bu yana ana sayfasının üst kısmında yer alan bildirimi kaçırmış olamaz:
O zamandan beri NIST, veritabanını CVE numaraları atanmış ve MITRE'nin CVE Listesinde yayınlanmış olan güvenlik açıklarına ilişkin girişlerle doldurmaya devam ediyor, ancak bütünün çoğunu NVD analistlerinin genellikle eklediği bilgilerle güncelleme konusunda başarısız oldu, örneğin:
- Kusurun açıklaması
- Güvenlik açığı ciddiyet puanı (CVSS)
- Önerilere ve diğer referanslara bağlantılar
- CPE girişleri (hangi çözümlerin ve sürümlerin güvenlik açığından etkilendiğini belirten meta veriler).
NIST, sorunun nerede yattığını daha fazla açıklamadı ve siber güvenlik topluluğunun sorunun ne zaman çözülmesini bekleyebileceğini söylemedi.
OWASP SBOM Forum projesi lideri Tom Alrich'e göre NVD başkanı Tanya Brewer bu hafta daha fazla bilgi sunabilir ve soruları yanıtlayabilir.
Güvenlik açığı yönetimi çözümleri NVD'ye güveniyor
Bu arada, birçok güvenlik açığı tarayıcısı ve diğer güvenlik açığı yönetimi araçları, bir kuruluşun sistemlerini etkileyen güvenlik açıklarını tespit etmek ve gidermek için NVD tarafından belirlenen CPE bütünlerine güvendiğinden, kurumsal savunucular kritik bir kaynağı etkili bir şekilde kaybetti.
Neyse ki NVD mevcut tek (ücretsiz) güvenlik açığı veritabanı değil. Chainguard CTO'su Dan Lorenc, LinkedIn'de başlattığı güncel bir tartışmada “Birçok tarayıcı, son zamanlarda OSV veya GitHub Security Advisory DB gibi şeyleri entegre etmek için çalıştı” dedi.
Bu veritabanlarının varlığı, NVD'nin tökezlemesini şirketi için “olay dışı” hale getirdi, diye ekledi, “ancak her tarayıcı bunları kullanmıyor ve pek çok kişi hala her gün NVD'ye güveniyor.”
Rapid7 ve Qualys gibi şirketler, ürünlerinin güvenlik açığı ve risk bilgilerinin tek kaynağı olarak NVD'ye bağlı olmadığı konusunda müşterilerine güvence vermek zorunda kaldı.
Çözülmesi gereken bir sorun
Hatalarına rağmen, NVD'nin, özel mülk yazılımlardaki güvenlik açıkları hakkında önemli meta veriler sağlama konusunda şu anda uygun (ücretsiz olarak temin edilebilen) bir alternatifi olmayan, hala çok önemli bir kaynak olduğu açıktır.
Mevcut durumla ilgili olumlu bir şey, birçok NVD dezavantajının artık yeniden belirlenip tartışılması ve uygulanabilir bir çözümün bulunmasının ZORUNLU olmasıdır.
Bunun NVD'nin sonu mu yoksa proje için köklü değişiklikler mi anlamına geleceği henüz bilinmiyor.
“NVD'nin en azından yakın vadede çalışmaya devam etmesi gerekiyor ancak artık dünya çapındaki en önemli güvenlik açığı veritabanı olarak kabul edilemez. Kısa vadeli bir çözüme, yeni CVE'lerin dahil edileceği bir veritabanına ihtiyaç var [package URL identifiers] açık kaynaklı yazılımlar ve özel (kapalı kaynak) yazılımların yanı sıra akıllı cihazlar için diğer tanımlayıcılar için,” diye belirtti Alrich.
“Ancak uzun vadeli bir çözümün de olması gerekiyor. Uluslararası olarak desteklenmesi gerekiyor, ancak hükümet finansmanına bağlı olamaz (her ne kadar hükümetler bunun finansmanına katılabilirse de). Bir yıldan kısa bir süre içinde çalışır hale gelebilecek böyle bir çözümü zaten önerdim. Bu alternatife yönelmemiz gerektiğini söylemiyorum ama artık NVD'nin sürekli gecikmelerine ve gıcırdayan altyapısına katlanmamız için hiçbir neden olmadığını söylüyorum.”