«И так сойдёт». Китай решил построить свой CVE с опечатками и спецслужбами

Аналитики компании Bitsight изучили, как Китай выстраивает собственную систему учёта уязвимостей на фоне турбулентности вокруг западной инфраструктуры CVE и NVD. Поводом стали сбои в работе Национальной базы уязвимостей США и временная неопределённость с финансированием программы CVE, что заставило рынок внимательнее присмотреться к альтернативным источникам данных.

В центре внимания оказались две государственные базы — China National Vulnerability Database of Information Security, более известная как CNNVD, и Chinese National Vulnerability Database, или CNVD. Первая курируется структурой при Министерстве государственной безопасности КНР, вторая управляется китайской командой реагирования на компьютерные инциденты CNCERT. Базы работают параллельно, используют собственные идентификаторы и по-разному наполняются.

Анализ показал, что большая часть записей в китайских каталогах дублирует данные из CVE. В структурах обеих баз предусмотрены поля для указания CVE-идентификаторов, однако между собой они записи не синхронизируют. При этом в массивах встречаются опечатки и несоответствия формата, что говорит о ручной обработке данных и создаёт сложности при автоматическом сопоставлении. Агрегирование данных из NVD и CVE остаётся основой большинства коммерческих инструментов управления уязвимостями.

Интерес вызвала разница во времени публикации. В подавляющем большинстве случаев сведения о дефектах появляются в китайских базах в тот же день или позже, чем в CVE. Однако около 1400 записей были опубликованы в CNNVD и CNVD раньше, чем соответствующие CVE получили статус публичных. В среднем разрыв составлял около трёх месяцев. Это перекликается с давними опасениями, связанными с тем, как Китай использует сведения об уязвимостях, полученные от иностранных партнёров. Среди примеров — уязвимости в продуктах Siemens, Kubernetes, SAP и WordPress-плагинах, где китайские описания по сути совпадали с тем, что позже появилось в международном каталоге.

Авторы исследования также обнаружили записи без привязки к CVE. Часть из них, вероятно, так и не была сопоставлена с международными идентификаторами из-за неточностей. В других случаях речь может идти о проблемах в продуктах, почти не представленных на западных рынках. После вступления в силу в июле 2021 года регламента по управлению уязвимостями темпы публикации таких записей изменились. CNVD стала заметно реже раскрывать дефекты без международных идентификаторов, тогда как CNNVD сократила их публикацию ещё раньше, но в 2025 году снова увеличила активность.

Отдельный анализ распределения критичности показал, что при более ранней публикации китайские базы чаще относили уязвимости к низкой или неопределённой степени опасности. Это косвенно указывает на зависимость от западных оценок и методик вроде CVSS, поскольку собственная шкала не всегда заполнялась полностью.

В целом, китайские каталоги исторически следовали за CVE и во многом повторяли его структуру, но новые правила регулирования усилили государственный контроль над раскрытием информации. При всех проблемах западной экосистемы именно стандартизированные механизмы, включая CVE и NVD, остаются более зрелыми с точки зрения машиночитаемости и унификации. Тем не менее анализ китайских баз показывает, что часть данных о рисках может появляться вне привычных каналов, а значит, глобальный ландшафт уязвимостей шире, чем принято считать.