美国网络安全与基础设施安全局(CISA)本周发布了一个名为“Vulnrichment”的漏洞信息富化项目，为常见漏洞和披露(CVE)记录添加重要信息，帮助组织改善漏洞管理流程。

Vulnrichment项目将为公共CVE记录添加常见平台枚举(CPE)、常见漏洞评分系统(CVSS)、常见弱点枚举(CWE)和已知可利用漏洞(KEV)数据。CISA表示，他们已经完成了1300个CVE记录的富化工作，尤其针对新近出现的漏洞，并呼吁所有CVE编号机构(CNA)在向CVE.org提交漏洞信息时提供完整的数据。

CISA表示，他们最初会采用利益相关者特定漏洞分类(SSVC)评分流程评估每个CVE记录。SSVC评分方法是由CISA与卡内基梅隆大学软件工程研究所合作开发，能够综合考虑漏洞的可利用状态、安全影响以及受影响产品的普及度等因素进行漏洞分析。

对于影响重大、可自动化利用、拥有概念验证漏洞利用代码或已被用于攻击的漏洞，CISA会在后续阶段进行进一步的分析。

CISA指出，Vulnrichment项目添加的信息可以帮助组织优先开展漏洞修复工作、理解漏洞趋势，并敦促厂商修复漏洞类别问题。Vulnrichment项目托管于GitHub平台，每个富化后的CVE条目均采用JSON格式提供，方便组织轻松将更新内容整合到漏洞管理流程中。

CISA是业界最早发布可利用漏洞的公共警告机构之一。其包含超过1100个已利用漏洞条目的KEV目录已成为漏洞管理的重要资源。

参考链接：

https://github.com/cisagov/vulnrichment