研究：俄罗斯国家漏洞资料库所列出的漏洞数量只有已知的10%,,这可能与俄罗斯漏洞资

原标题：研究：俄罗斯国家漏洞资料库所列出的漏洞数量只有已知的10%

图片来源: FSTEC 曾经检验中国及美国国家漏洞资料库（National△Vulnerability△Database，NVD）的网络科技业者Recorded△Future，在本周公布了针对俄罗斯国家漏洞资料库的分析结果，发现俄罗斯的漏洞资料库不但只含...

图片来源:

FSTEC

曾经检验中国及美国国家漏洞资料库（National△Vulnerability△Database，NVD）的网络科技业者Recorded△Future，在本周公布了针对俄罗斯国家漏洞资料库的分析结果，发现俄罗斯的漏洞资料库不但只含有10%的已知漏洞，而且漏洞的平均发布时间比中国晚83天，也比美国晚了50天。

这可能与俄罗斯漏洞资料库的背景有关。俄罗斯的漏洞资料库简称为BDU，是由俄罗斯技术与出口管制联邦服务（ Federal△Service△for△Technical△and△Export△Control△of△Russia，FSTEC）经营，FSTEC则是负责保护国家机密与支持间谍及反间谍活动的军事组织，且一直到2014年才推出BDU，落后中国建立CNNVD的2009年，以及美国NVD的2000年。

根据Recorded△Future截至今年3月底的调查，相较于NVD所公布的107,901个CVEs（Common△Vulnerabilities△and△Exposures，通用漏洞披露），BDU只公布了11,036个漏洞资讯，仅占全球已知漏洞的10%左右。

尽管FSTEC宣称BDU是为了提供相关人员对资安系统既有威胁的认识，且适用于开发人员、资安专家、测试实验室或其它组织，分析却显示该资料库主要出版的是针对俄罗斯政府与重要基础设施所使用系统的安全漏洞，此外，BDU上发布最快的漏洞中，有75%与浏览器或工业控制软件有关。

而BDU的漏洞计算方式也与NVD不同，有时FSTEC会把多个CVE视为单一漏洞，有时则会把单一CVE根据作业系统的差异而拆为多个漏洞。

有趣的是，俄罗斯的APT（Advanced△persistent△threat，先进持续性威胁）骇客集团在过去4年来所开采的49个漏洞中，有61%曾出现在BDU中，远高于平均的10%，很可能是因为俄罗骇客主要参考BDU所公布的漏洞所致。

Recorded△Future也猜测，FSTEC的任务既是保护俄罗斯政府的资讯系统，BDU或者代表了俄罗斯自身也曝露于相关漏洞，可进一步了解该国政府的资讯系统。

橙山网（Csnd.net）简评：这可能与俄罗斯漏洞资料库的背景有关。俄罗斯的漏洞资料库简称为BDU，是由俄罗斯技术与出口管制联邦服务（ Federal△Service△for△Technical△and△Export△Control