Nemzetközi vs kínai sebezhetőség-nyilvántartások
A BitSight a kínai sebezhetőség-nyilvántartások, a CNVD (China National Vulnerability Database) és a CNNVD (China National Vulnerability Database of Information Security), működését és globális kiberbiztonsági hatását vizsgálja. A két adatbázis strukturálisan hasonlít a nemzetközi CVE-adatbázishoz, de politikai és működési különbségek miatt eltérő módon kezeli a sebezhetőségek közzétételét és időzítését.
A BitSight megfigyelése szerint a CNNVD és CNVD listákba való bekerülés gyakran késik a nemzetközi közzétételhez képest, ami mögött részben az állhat, hogy a kínai nyilvántartások ellenőrzési vagy cenzúra-folyamatokat hajtanak végre, vagy szándékosan időzítik a publikálást politikai, stratégiai okokból. Ez a késleltetés probléma lehet a globális kiberbiztonsági ökoszisztéma számára, mert a CVE-hez képest különböző ütemben frissülő rekordok lassítják a sebezhetőségek átlátható kezelését és a frissítésekre történő reagálást.
A CNNVD-be vagy CNVD-be történő bekerülés nem mindig korrelál közvetlenül az adott sebezhetőség exploitálhatóságával vagy súlyosságával, ami tovább bonyolítja azok kezelését olyan szervezetek számára, amelyek globális sebezhetőség-adatokat használnak kockázat-értékeléshez. Továbbá a kínai nyilvántartásokban szereplő adatok gyakran kínai nyelven érhetők el, és a meta-adatok formátuma vagy tartalma eltérhet a nemzetközi szabványoktól, ami integrációs és automatizálási kihívásokat okozhat a nemzetközi kiberbiztonsági eszközök és workflow-k számára.
