9月6日,大西洋理事会发布报告《中国如何将软件漏洞武器化》,分析了我国于2021年7月发布的《网络产品安全漏洞管理规定》条款,以及规定发布之后中国软件漏洞披露的整体生态,着重介绍了中国国家漏洞数据库(CNVD)、中国国家信息安全漏洞数据库(CNNVD)、网络安全威胁和漏洞信息共享平台(NVDB)的数据情况,罗列了参与数据库建设的相关机构和漏洞上报企业名单。
2021年7月,中国国家互联网信息办公室、公安部、工业和信息化部联合发布了《网络产品安全漏洞管理规定》。报告称,此规定使得所有的软件漏洞报告都被推送给了ZG政府,政府则利用这些软件漏洞开展网络攻击;与之形成鲜明对比的是,美国采取自愿报告制度。
报告指出,有151家网络安全公司为中国国家安全部13局提供软件漏洞。这些公司雇佣了至少1190名软件漏洞研究人员。每年,研究人员向国安部提供至少1955个软件漏洞,其中至少141个是“严重”级别。
报告建议
美国政府要努力提高漏洞情报能力。漏洞情报利用漏洞发现前的先兆,例如人员、公司和组织、技术能力和专业领域、工具和设备以及他们公开发布的任何漏洞,估计可能正在哪些系统中工作以发现漏洞。关键是,这项研究将揭示外国研究人员正在发现但没有公开发布的漏洞类型。本报告提供的数据,如附录中列出的公司名单,可以用于进一步研究和收集相关信息。
相关报告
报告提到了与中国安全漏洞相关的3份报告:大西洋理事会的《龙尾:国际网络安全防护研究》(我智库曾作介绍)、微软的《2022年数字防御报告》、“记录未来(Recorded Future)”在2017年发布的系列报告。
漏洞数据库主要技术支持公司
Alibaba Cloud(阿里云计算有限公司)
AI SEC(北京安赛创想科技有限公司)
AXTX(北京安信天行科技有限公司)
Beijing Qihoo360(北京奇虎科技有限公司)*
Venus Tech(北京启明星辰信息安全技术有限公司)*
NS Focus(北京神州绿盟科技有限公司)*
Data Star Observatory(北京数字观星科技有限公司)*
Beijng TopSec(北京天融信网络安全技术有限公司)*
KnownSec(北京知道创宇信息技术有限公司)(SEEBUG Vulnerability Platform)
Antiy(哈尔滨安天科技股份有限公司)*
DBAPP Security (DAS Security)(杭州安恒信息技术有限公司)*
Eversec(恒安嘉新(北京)科技有限公司)*
Bluedon(蓝盾信息安全技术股份有限公司)
China Liancheng(南京联成科技发展股份有限公司)
YX Link(南京铱迅信息技术股份有限公司)
Qi An Xin(奇安信网神)*
Safe Dog(厦门服云信息科技有限公司)*
Tophant(上海斗象信息科技有限公司)*
Sangfor Information Services(深信服科技股份有限公司)*
Tencent Xlab(深圳市腾讯计算机系统有限公司)*
Neusoft(沈阳东软系统集成工程有限公司)*
Silence(四川无声信息技术有限公司)
CloverSec(西安四叶草信息技术有限公司)*
H3C(新华三技术有限公司)*
China Telecom(中国电信集团系统集成有限责任公司)*
CNZX Soft(中新网络信息安全股份有限公司)
中国漏洞数据库的完整概念图
4250315.png)
《网络产品安全漏洞管理规定》发布之前的情况
美国网络安全和基础设施安全局(CISA)记录的中国工业控制系统(ICS)漏洞数据库情况(113个漏洞)。报告称,到了2022年,这个系统只公布了10个漏洞,此前每年公布几百个漏洞。
中国国家漏洞数据库(CNVD)架构
报告列出的CNNVD技术支持单位
车联网产品安全漏洞专业库(CAVD)漏洞分析专家组名单
报告免费下载链接。
升级VIP 