Selon la référence fournie (Socket), le chercheur Jerry Gamblin publie le CNA Scorecard, un tableau de bord public évaluant la complétude des données de vulnérabilités CVE fournies par les CVE Numbering Authorities (CNA). Le constat: une crise de qualité des données liée au ralentissement de la NVD, qui enrichissait historiquement les enregistrements CVE. Désormais, les CNA doivent fournir des détails complets qu’elles ne livrent pas de façon consistante depuis plus de 15 ans.
📊 Le Scorecard mesure la complétude de cinq catégories sur environ 23 000 CVE récents:
- Foundational Completeness: 100%
- Root Cause/CWE: 89,8%
- Severity/CVSS: 88,4%
- Software Identification/CPE: 2,1%
- Patch Information: 4,7%
🛠️ Sur le plan technique, l’outil s’appuie sur un pipeline Python qui extrait les données du dépôt CVEProject/cvelistV5 et calcule automatiquement les scores toutes les 6 heures via GitHub Actions. Il n’évalue que les six derniers mois de données pour refléter le comportement récent des CNA, et les scores reposent sur la présence des champs (complétude), non sur l’exactitude des informations.
⚠️ En clair, l’identification logicielle (CPE) et les informations de correctifs sont très peu renseignées, rendant difficile l’assignation précise des produits affectés et la remédiation.
Type d’article: nouveaux outils — but principal: mesurer et rendre visible la complétude des champs critiques des CVE récents fournis par les CNA.
🔗 Source originale : https://socket.dev/blog/cna-scorecard