Большая часть уязвимостей в ПО не внесена в основные базы данных

В первой половине 2018 года зафиксировано рекордное количество обнаруженных в программном обеспечении уязвимостей, однако большая часть из них не отображена в основных списках отслеживаемых проблем, сообщили исследователи кибербезопасности из компании Risk Based Security.

По оценкам компании, с начала текущего года до 30 июня ее сотрудники зафиксировали 10 644 уязвимости, 16,6% из которых получили оценки от 9,0 или выше по шкале CVSSv2.

При этом 3 279 из них не отображаются в официальных базах данных, таких как Common Vulnerabilities and Exposures (CVE) и Национальная база данных уязвимостей США (National Vulnerability Database, NVD), потенциально оставляя компании в неведении касательно существования данных проблем. 44,2% незадокументированных проблем имели рейтинг опасности от 9,0 до 10,0.

Основная причина, по мнению экспертов, заключается в децентрализованности отчетов об уязвимостях. Помимо этого, исследователи отметили распространенность некорректного раскрытия информации о проблемах.