Sonatype最新发布的分析报告指出,当前软件生态对漏洞评估的一致性和时效性提出了更高要求,而传统的核心漏洞评分体系已难以满足这些需求。
网络安全决策者通常依赖漏洞数据来制定防护策略,但提供这些数据的系统正面临严峻挑战。该报告进一步表明,主流漏洞评分体系在应对现代软件供应链风险时,其准确性和响应速度都显露出明显不足。

滞后的评分体系
尽管CVE项目仍是行业公认的基石,NVD(国家漏洞数据库)也持续作为严重性评级的主要来源,但这些工具最初是为软件发布周期较慢的时代设计的。在持续部署、深度依赖组件和自动化开发流程成为主流的今天,原有体系已显得力不从心。
2025年数据显示,64%的开源组件CVE在NVD中缺乏CVSS评分。安全团队不得不在承担高风险与自行填补数据空白之间做出抉择。Sonatype对缺失评分的漏洞进行评估后发现,近半数属于高危或严重级别,这说明缺乏评分往往会掩盖真实风险。
即便存在严重性评分,不同数据源之间也缺乏一致性。统计表明,仅有19%的CVE严重性分类与Sonatype的分析结果相符,62%存在夸大风险的情况,其余则低估了威胁等级,导致实际风险未被及时识别。
延迟的评分拖累响应效率
时效性是另一大缺陷。2025年,漏洞从公开披露到获得NVD评分的平均延迟达6周,部分CVE甚至等待超过50周。而漏洞利用代码通常几小时内就会出现,维护者一般在数日内发布补丁。延迟数周才出现的评分对快速响应几乎毫无价值。
2024年NVD评分输出停滞数月的事件,暴露出评分流程的脆弱性。即便运营恢复后,积压问题仍未得到有效解决。
影响远超安全团队范畴
合规流程默认CVE数据具有完整性,构建系统根据CVE信息决定是否允许组件使用,平均修复时间等战略指标也依赖可能失真的严重性分级。
近期软件供应链事件(如Log4Shell和XZ Utils)清晰展现了这些缺陷。在这些事件中,社区往往在最新评分发布前就已理解威胁并实施缓解措施。当前的威胁环境需要快速研判能力,但现有体系并非为此设计。
Sonatype首席技术官Brian Fox指出:"CVE项目从未考虑现代软件开发的规模和速度需求。这已是开源领域不争的事实,在AI时代更为凸显。漏洞情报必须从索引历史数据,转向实时洞察实际运行环境中的风险。"
数据质量问题的根源
报告揭示了导致不一致性的多重原因:部分维护者为图省事发布宽泛的影响版本范围;有些则直接排除已停止支持的旧版本,尽管许多组织仍在使用这些版本。
研究人员也可能在快速发布CVE后不再跟进。一旦获得漏洞编号,就缺乏动力去完善版本范围或评分细节。这些看似微小的疏漏累积起来,最终导致系统性偏差。
