National Vulnerability Database

Il National Vulnerability Database ( NVD ) è un archivio gestito dal governo degli Stati Uniti e in particolare dal National Institute of Standards and Technology (NIST). Questo database raccoglie le informazioni sulle vulnerabilità di sicurezza note in software e hardware. Queste informazioni vengono rappresentate tramite il Security Content Automation Protocol (SCAP). Questo consente l'automazione della gestione delle vulnerabilità, della misurazione della sicurezza e della conformità. Include delle checklist di sicurezza, dettagli sulle vulnerabilità alle quali vengono assegnate punteggi CVSS. NVD supporta il programma ISAP (Information Security Automation Program ).

L'8 marzo 2013 il National Vulnerability Database (NVD) fu temporaneamente messo offline a seguito di una compromissione del sistema che lo ospitava. La causa principale fu ricondotta a una vulnerabilità di sicurezza presente nel software Adobe ColdFusion in esecuzione su quel server. ^{[1] [2]}

Nel giugno 2017, la società di intelligence Recorded Future, ha sottolineato una problematica significativa nella gestione delle vulnerabilità. La loro analisi ha infatti evidenziato un ritardo medio di 7 giorni tra la rivelazione di un CVE (Common Vulnerabilities and Exposures) e la relativa pubblicazione definitiva sull'NVD. Inoltre, sempre secondo tale analisi, circa il 75% delle vulnerabilità viene divulgato in modo non ufficiale prima di essere pubblicato sul database ufficiale. Questi due fattori assieme potrebbero esporre ulteriormente a rischio i sistemi e gli utenti. ^[3]

L'NVD, oltre a fornire l'elenco delle vulnerabilità e esposizioni comuni (CVE), assegna punteggi alle stesse utilizzando il Common Vulnerability Scoring System (CVSS) ^[4] che si basa su una serie di equazioni che utilizzano parametri quali la complessità di accesso e la disponibilità di un rimedio.