大数跨境

从 NVD CPE 到 CNNVD PAV | 网络安全数据的“主权替代”之路

从 NVD CPE 到 CNNVD PAV | 网络安全数据的“主权替代”之路 数世咨询
2026-07-14
14
导读:CNNVD发布国产PAV数据标准,替代美国NVD CPE,破解命名混乱、覆盖盲区等难题,实现漏洞影响产品数据自主可...

2026 年 6 月,中国国家信息安全漏洞库(CNNVD)正式发布《信息安全技术 网络安全受漏洞影响产品描述规范》,并同步推出中国版漏洞影响产品数据 PAV(Products Affected by Vulnerabilities)。作为对标美国国家漏洞库 NVD CPE 的国家主权数据,PAV 的推出价值巨大、影响深远——它不仅是一份数据标准,更是网络安全漏洞"发现能力"底座的一次自主重构。

01


什么是"漏洞影响产品"数据

漏洞影响产品,就是存在这个漏洞的、可能被攻击者利用的具体的软件、硬件或系统及其版本范围。没有它,用户就不知道漏洞会危害哪些软硬件或系统。此数据一般随漏洞公告发布,但随着漏洞海啸,缺少漏洞影响产品数据的漏洞公告越来越多。

通常,漏洞公告通常以自然语言描述漏洞,是"人可读"的。但要让机器自动判断"我的某台资产是否受这个漏洞影响",就必须把"受影响产品"结构化、标准化,形成"机器可读、可匹配"的数据。这正是漏洞影响产品数据的使命——它是连接"漏洞情报"与"资产清单"的关键桥梁。

 1 漏洞影响产品数据:把"人读的安全公告"翻译为"机器可执行的资产风险


数据用途:现代漏洞管理的隐形地基

高质量的影响产品数据,支撑着现代漏洞管理几乎每一个环节:威胁情报、漏洞扫描器的规则匹配、软件成分分析(SCA / SBOM)、资产漏洞关联、供应链风险穿透、优先级研判……可以说,缺少它,"自动化漏洞管理"就无从谈起。


NVD CPE:全球网络安全的二十年基石

二十多年来,美国国家漏洞库 NVD 以 CPE(Common Platform Enumeration,通用平台枚举)作为影响产品的通用命名规范,用 WFN(格式良好名称)描述"厂商 : 产品 : 版本"三元组,成为全球漏洞管理事实上的通用语言。全球的扫描器、SCA 工具、威胁情报、SIEM、资产管理平台,大多直接或间接使用 CPE 数据。CPE 是过去二十年全球网络安全自动化的基石之一,其历史价值不可否认。

02


NVD CPE 当前的问题

然而,作为基石的 CPE,正暴露出越来越严重的结构性问题,甚至面临"源头断供"的风险。


五类结构性短板

命名不一致:同一产品存在多个合法名(如 ie 与 internet_explorer),与厂商公告、第三方工具命名差异大。


分类过粗:仅 a / o / h 三类,对虚拟化、开源依赖等新技术兼容性差。


国产 / 开源覆盖差:缺厂商公告、国产产品、开源组件的影响数据,形成"识别盲区"。


通配符滥用:ANY 被滥用,漏洞影响版本范围被不当扩大。


更新滞后·机读性差:版本未直接指明、通配符滥用,机器难以精准判定受影响版本范围。


标志性事件:从"全球警钟"到"结构性放弃"

CPE 的困境并非一夜之间。从 2011 年 CPE 2.3 确立,到 2018 年 purl 兴起挑战三元组,再到 2024 年 2 月 NVD 突然大幅放缓富化——这记"全球警钟"敲响后,事态持续恶化。

 2 NVD CPE / purl / CNNVD PAV 关键事件时间线


2024.2 NVD 停摆:大幅削减对新披露 CVE 的富化(含 CPE 关联),大量漏洞长期缺失影响产品数据。

断档前,NVD 几乎为全部新披露 CVE 提供 CPE 富化(约 100%);断档后,获得 CPE 关联的新 CVE 比例骤降至约 8%;即便 CNA(编号机构)补位,覆盖率也仅回升到约 16%。截至 2024 年 9 月,待 NVD 分析富化的积压 CVE 已超过 1.8 万条。

 3 新披露 CVE 获 NVD CPE 富化的比例:断崖式下滑


2026.4 放弃全量富化漏洞影响产品数据:NVD 正式转向"风险导向富化",仅优先 KEV 与联邦关键软件;约 2.9 万条历史积压整体划入"不再排期(Not Scheduled)"。


AI推动下的结构性盲区

在 AI 的推动下,漏洞披露量持续激增——CVE 提交量在 2020 至 2025 年间增长约 263%,2025 年全年披露量突破 4 万条。但NVD CPE 的富化率却断崖式下滑。一升一降之间,"资产↔漏洞"关联出现结构性盲区,用户依赖 CPE / NVD 的漏洞扫描与资产关联发现能力被极大削弱。

 4 漏洞激增与 CPE 富化锐减的致命背离

▲  依赖即风险 当影响产品数据的"源头"停摆或收缩,所有构建其上的自动化发现能力都会随之失效——依赖单一境外源头,本身就是一种系统性风险。

03


数据底座的自主重构:CNNVD PAV 

在此背景下,中国国家漏洞库CNNVD PAV 横空出世。

PAV(Products Affected by Vulnerabilities)是《信息安全技术 网络安全受漏洞影响产品描述规范》定义的漏洞影响产品描述数据。它在NVD CPE传统"厂商 : 产品 : 版本"三元组之上,补齐了"不受影响"表达、四值语义与治理元数据,是专为"非接触式关联发现"量身打造的数据底座。


五大创新点
01


"不受影响"表达:内建 5 类"不受影响"理由,从数据模型层面直击误报——"组件在、代码却跑不到"的情况终于可以被准确表达。

02


四值语义:以 ANY(信息不足)/ *(全集)/ -(未知)/ NA(不适用)四值区分,比 CPE 单一通配符"*"更精准,避免影响范围被不当放大。

03


中文优先命名:以稳定中文名为主标识,化解国产厂商英文名"多译、多写"导致的碰撞失败。

04


治理画像属性:内建开源情况、开发者国别、应用行业、生命周期等治理元数据,天然支撑国产化率、关基行业等国家级统计与研判。

05


主权自主·纳入国标:数据源头国家级自主可控,纳入新修订国标。


一揽子破解 CPE 之困

PAV 并非对 CPE 的简单模仿,而是针对其结构性短板的系统性回应:

从 NVD CPE 到 CNNVD PAV,不只是一份数据标准的替代,更是网络安全"发现能力"从"依赖他人"走向"自主可控"的关键一步。当影响产品数据的源头掌握在自己手中,构建其上的资产关联、漏洞发现、风险研判,才真正拥有了坚实、可持续的底座。

04


摄星科技与CNNVD PAV 

摄星科技参与了CNNVD PAV规范和设计工作,并提前进行数据兼容、场景应用和产品功能布局。以CNNVD PAV 为数据基石,将其能力工程化落地。


非扫描模式:漏洞发现的"第三种方式"

以资产名称与版本,去碰撞"漏洞影响产品(PAV)"库,通过数据匹配与关联分析找出存在的漏洞。零部署、无扫描、不接触,情报即时、全网覆盖、成本低。


落地场景

「资产—漏洞」管理能力落地包括新漏洞爆发排查、信创国产化漏洞识别、供应链数据、全网合规排查、态势感知联动、应急响应通报等六大典型场景,贯穿合规、信创、供应链、应急。

借助 CNNVD PAV 自主、全面、可机读的影响产品数据,四相平台让"资产↔漏洞"关联重新"看得见",不再受制于境外源头的富化节奏,在漏洞激增与扫描空窗期的双重压力下,依然能够快速、准确、低成本地定位受影响资产。


长按扫描二维码添加

摄星网络安全专家企微进行深度交流



往期精彩回顾
漏洞管理的分水岭 | 全球第一个国家级漏洞优先级强制指令BOD26-04
Nightmare-Eclipse事件:零日漏洞武器化、供应链安全与国产化替代反思
从美国CISA KEV看 “主权”合规漏洞清单的价值变迁

【声明】内容源于网络
0
0
数世咨询
中国数字化领域独立的第三方服务机构,提供网络安全行业的调查、研究与咨询服务。
内容 1154
粉丝 0
数世咨询 中国数字化领域独立的第三方服务机构,提供网络安全行业的调查、研究与咨询服务。
总阅读7.6k
粉丝0
内容1.2k