漏洞库作为网络安全的核心资源,汇集了各类已知漏洞信息,对网络安全工程师、政府、企业和研究人员至关重要。它能帮助快速响应安全威胁(如早期的漏洞预测与扫描),并及时有效地开展针对性的修补工作,提升整体网络安全水平。然而,建设过程中面临数据收集滞后、依赖专家评估、高人力成本等挑战,需要通过持续优化和技术创新来克服。NextSOC快页下一代安全运营中心为大家介绍20款全球业界知名且权威的漏洞库,可以基于以下漏洞库完成企业自有漏洞库建设或做一些安全研究。
1、CNVD(国家信息安全漏洞共享平台)
国家信息安全漏洞共享平台(CNVD,China National Vulnerability Database)是由国家计算机网络应急技术处理协调中心(中文简称:国家互联网应急中心,英文简称CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。
建立CNVD的主要目标即与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集验证、预警发布及应急处置体系,切实提升我国在安全漏洞方面的整体研究水平和及时预防能力,进而提高我国信息系统及国产软件的安全性,带动国内相关安全产品的发展。
官网:https://www.cnvd.org.cn/
2、CNNVD(国家信息安全漏洞库)
中国国家信息安全漏洞库(CNNVD,China National Vulnerability Database of Information Security)于2009年10月18日正式成立,是中国信息安全测评中心(中文简称:国测,英文简称:CNITSEC,China Information Technology Security Evaluation Center)为切实履行漏洞分析 和 风险评估 的职能,负责建设运维的国家信息安全漏洞库,面向国家、行业和公众提供灵活多样的信息安全数据服务,为我国信息安全保障提供基础服务。CNNVD在国家专项经费支持下,负责建设运维的国家级信息安全漏洞数据管理平台,旨在为我国信息安全保障提供服务。
官网:https://www.cnnvd.org.cn/
3、NVDB(工业和信息化部网络安全威胁和漏洞信息共享平台)
网络安全威胁和漏洞信息共享平台(National Vulnerability DataBase)由工业和信息化部各下属机构主办,网络安全威胁和漏洞信息共享平台由5个子漏洞库组成,分别为CNVDB(通用网络产品安全漏洞专业库)、CICSVD(国家工业信息安全漏洞库)、CITIVD(信创政务产品安全漏洞专业库)、CAPPVD(移动互联网APP产品安全漏洞专业库)、CAVD(车联网产品安全漏洞专业库)。
官网:https://www.nvdb.org.cn/
4、 CNCVE(中文漏洞知识库)
中文漏洞知识库(Chinese Common Vulnerabilities and Exposures,简称“CNCVE”),是凭阑实验室基于公开漏洞进行收集、分析和评估,负责运营的中文信息安全漏洞知识管理平台,旨在为全球信息安全保障提供服务。通过社区建设与运营,CNCVE 在信息安全漏洞搜集、重大漏洞信息通报、高危漏洞安全消控等方面发挥了重大作用,为全球重要行业和关键设施安全保障工作提供了重要的技术支撑和数据支持。
官网:https://www.cncve.org.cn
5、ESRC(教育漏洞报告平台)
教育漏洞报告平台由上海交通大学主办,是一个面向全教育行业的漏洞报告平台。平台旨在汇聚多方力量,帮助提升教育系统各级各类学校、单位的信息系统和网站安全性,为推进教育信息化建设保驾护航。
官网:https://src.sjtu.edu.cn/
6、CNVDB(通用网络产品安全漏洞专业库)
通用网络产品安全漏洞专业库(Common Network-product Vulnerability DataBase)由中国信息通信研究院主办,依据《网络产品安全漏洞管理规定》,面向网络产品提供者、网络产品安全漏洞收集平台和其他发现漏洞的组织或个人,收集通用网络产品安全漏洞,对漏洞进行验证,督促网络产品提供者及时修补漏洞。漏洞库覆盖计算机、信息终端、电信网络设备、信创产品、物联网产品、人工智能产品、区块链产品,以及其它类型的通用软件产品、硬件产品和软硬件组合产品。
官网:https://www.cnvdb.org.cn/
7、 CICSVD(国家工业信息安全漏洞库)
工业和信息化部网络安全威胁和漏洞信息共享平台工业控制产品安全漏洞专业库/国家工业信息安全漏洞库(简称CICSVD)由工业和信息化部指导,是工业控制产品领域的国家级专业库,依托国家工业信息安全发展研究中心以及相关行业单位的技术和资源基础,与工业控制产品提供者、工业控制产品运营者、安全厂商、科研机构、个人用户等,建立工业控制产品安全漏洞收集、分析、研判、通报、预警和处置工作体系。
CICSVD的建设和运行遵守国家法律和法规及社会道德风尚,旨在发挥桥梁纽带作用,构建工业控制产品安全漏洞管理生态环境,组织和鼓励各方参与CICSVD建设,服务成员单位、工业控制产品领域企业和政府部门,支撑制造强国与网络强国建设,助力我国制造业高质量发展。
官网:https://www.cics-vd.org.cn/
8、CITIVD(信创政务产品安全漏洞专业库)
信创政务产品安全漏洞专业库(CITIVD)由国家工业信息安全发展研究中心主办,依据《网络产品安全漏洞管理规定》,面向信创产品提供者、网络产品安全漏洞收集平台和其他发现漏洞的组织或个人,收集并上报信创产品安全漏洞,涵盖信创网络及安全设备、信创硬件系统、信创操作系统、信创服务软件、信创WEB应用及桌面软件、信创办公自动化设备、信创政务云平台及其他信创产品等领域,并对漏洞进行验证,督促网络产品提供者及时修补和合理发布。
官网:https://www.cnxcvd.org.cn/
9、 CAPPVD(移动互联网APP产品安全漏洞专业库)
中国软件评测中心受工业和信息化部网络安全管理局委托,建设和运营工业和信息化部网络安全威胁和漏洞信息共享平台移动互联网APP产品安全漏洞专业库(以下简称CAPPVD漏洞库),支撑网络产品安全漏洞管理工作。
依据《网络产品安全漏洞管理规定》,CAPPVD漏洞库面向网络产品提供者和网络运营者,以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人开展移动互联网APP产品安全漏洞收集、验证、修补等相关工作。
官网:https://cappvd.org.cn/
10、CAVD(车联网产品安全漏洞专业库)
车联网产品安全漏洞专业库(简称CAVD)是由中国汽车技术研究中心有限公司(以下简称“中汽中心”)通过聚集汽车行业漏洞资源,联合行业共同构建的首个汽车漏洞数据库。CAVD定位于汽车行业漏洞信息共享与交流平台,旨在充分发挥漏洞库在网络安全漏洞预警和应急响应中的作用,开展汽车漏洞收集、处置、通报等工作。
中汽中心作为“工业和信息化部网络安全威胁信息共享平台”合作单位,已实现CAVD与网络安全威胁信息共享平台的对接,作为车联网网络威胁支撑单位持续报送车联网网络安全威胁情报。
CAVD通过实验室自主挖掘、白帽子、安全公司等多源收集漏洞数据。CAVD包含通用漏洞和汽车漏洞两大类别,其中汽车漏洞覆盖T-BOX、IVI、车内网络、ECU、无线电、APP、云平台、其他八大类型。同时,CAVD吸纳各行业漏洞分类分级实践经验,基于车联网网络安全漏洞特性,联合车联网产业链相关主体,制定了完善的《汽车信息安全漏洞评价规范》,为漏洞数据的科学规范管理提供依据,保证漏洞数据合理客观性。
官网:https://cavd.org.cn/
11、AVD(阿里云漏洞库)
所有软件、平台和设备都是我们的可能研究目标。阿里云安全应急响应中心经常会在这些研究目标中发现缺陷和安全漏洞,并为它们分配一个AVD ID。我们会创建一个安全公告条目,但不会立刻披露漏洞细节。为了让世界变得更安全,我们会积极地与受影响厂商合作修复这些安全漏洞。并在厂商发布补丁后披露更多关于漏洞的信息。
阿里云安全应急响应中心会尽最大努力通过公开方式联系受影响的厂商。我们也和 MITRE 公司、CERT 协调中心(CERT/CC)、国家信息安全漏洞共享平台(CNVD)和中国国家信息安全漏洞库(CNNVD)等密切合作,确保通知到受影响的厂商,并为这些安全漏洞分配漏洞编号。
官网:https://avd.aliyun.com/
12、 NVD(美国国家通用漏洞数据库)
NVD,National Vulnerability Database,美国国家计算机通用漏洞数据库,是美国权威的漏洞数据收集平台。
NVD是美国政府基于标准的漏洞管理数据存储库,使用安全内容自动化协议(SCAP)表示。这些数据支持漏洞管理、安全测量和遵从性的自动化。NVD包括安全检查表引用、安全相关软件缺陷、错误配置、产品名称和影响指标的数据库。有关如何引用NVD的信息,包括数据库的数字对象标识符(DOI),请咨询NIST的公共数据存储库。
官网:https://nvd.nist.gov/
13、CVE(通用漏洞披露)
CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。公共漏洞和暴露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据,虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明的一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题。
官网:https://cve.mitre.org/
14、EDB(漏洞仓库工具)
Exploit-DB是一个面向全世界黑客的漏洞提交平台,主要收集和发布各种漏洞和利用代码,为安全研究者和渗透测试工程师提供了一个方便的资源库。Exploit-DB存储了大量的漏洞利用程序,帮助用户快速查找和利用最新的漏洞信息,目前是世界上公开收集漏洞最全的数据库之一。
Exploit-DB提供了多种搜索功能,用户可以通过搜索漏洞编号、漏洞名称、受影响的软件或系统等关键词来查找特定漏洞。此外,Exploit-DB还支持高级搜索功能,用户可以根据漏洞类型、发布日期、作者等参数来筛选搜索结果。搜索结果还可以通过标签进行过滤,用户可以通过浏览标签来查找与特定主题或技术相关的漏洞。
官网:https://www.exploit-db.com/
15、VulnDB(商业漏洞库)
VulnDB是最全面、及时的漏洞库,包含了详尽漏洞信息,尤其是漏洞的受影响版本清单非常详尽和准确,VulnDB由Risk Based Security公司发行,已于2022年被Flashpoint收购,聚焦于能够在关键漏洞广为人知之前快速检测到它们,然后自动化他们如何优先处理和修复这些问题。
商业漏洞库,按API请求数计费。
官网:https://vulndb.cyberriskanalytics.com/
16、VulDB(商业漏洞库)
VulDB是记录和解释漏洞的头号数据库。客户可以访问1970年以来的27w+个漏洞条目。所有条目都包含摘要、技术细节和建议的对策,还包括其他数据和外部参考资料,VulDB是CNA机构,CVE ID覆盖率为100%,NVD上的很多CVSS打分是来自于VulDB。VulDB提供了优质数据服务,允许用户访问有关安全漏洞和威胁情报的信息。这些数据可以通过网站或API访问。
商业漏洞库,按API信用数计费,简单理解为获取1个漏洞详情会消耗1个API信用分。
官网:https://vuldb.com/
17、OSV(开源漏洞库)
OSV是Google提供的一个开源项目的漏洞数据库和分类基础设施,旨在帮助开源项目的开发人员和用户应对开源项目漏洞。对于开发人员,OSV的自动化功能有助于减轻分类负担,每个漏洞都会经过自动分析,以确定受影响的提交和版本范围。
官网:https://osv.dev/list/
18、补天(漏洞响应平台)
补天漏洞响应平台由奇安信主办,是专注于漏洞响应的第三方公益平台。补天平台通过充分引导民间的白帽力量,实现实时的、高效的漏洞报告与响应,守护企业网络安全,积极推动互联网安全行业的发展。被公安部、工信部、CNCERT、国测等机构评定为优秀技术支撑单位。
补天平台通过SRC、众测等方式服务广大企业,以安全众包的形式让白帽子从模拟攻击者的角度发现问题,解决问题,帮助企业树立动态、综合的防护理念,维护企业的网络安全。
网聚安全力量,为社会提供准确、详实的安全情报,让全中国网络都实现漏洞的及时发现与快速响应是补天平台始终坚持并不断履行的社会使命。
官网:https://www.butian.net/
19、360漏洞云(漏洞众包响应平台)
360漏洞云漏洞众包响应平台积极响应国家及监管单位号召,联合多家安全生态战略合作伙伴,特推出“亿万守护计划”。该计划旨在守护互联网空间安全,以“守护互联网亿万驻民和企业网络空间安全”为使命,倡导全网优秀安全研究员用安全技术赋能互联网安全事业发展,为我国十四五规划及2035年远景目标纲要关于加强国家安全体系和能力建设目标保驾护航,抵御网络攻击威胁,提升网络防御能力,降低安全漏洞被恶意利用的风险,携手共筑互联网空间安全屏障。
官网:https://src.360.net/
20、漏洞盒子(安全众测与安全运营管理平台)
漏洞盒子(Vulbox)由斗象科技主办,是国内首家链接全球安全专家资源与自有团队,通过再现真实环境进行漏洞挖掘,为企业用户提供高效、透明的互联网安全服务平台。
官网:https://www.vulbox.com/
