确定没有CPE的CVEs的适用性？

Question

我试图构建一个自动管道来触发某些内部软件事件，当相关的感兴趣的产品的CVEs被发布时。我正试图为此目的使用NIST NVD数据成功。我经常遇到这样的情况:最近发布的CVEs对于已知的受影响的软件配置没有CPE。

撰写本文时的例子是CVE-2021-0295 (JSON API)

"result": {
   ...
   "CVE_Items": [{
      ...
      "configurations": {
          "CVE_data_version": "4.0",
          "nodes": []
      },
      ...
   }
}

使用CPEs的实例是CVE-2020-24563 (JSON API)。

我怎样才能恰当地利用CPE来确定新出版的CVEs的适用性？在这些情况下，我是否不得不使用关键字匹配？有我应该知道的某些时间表吗？

Answer 1

根据编号当局和授权数据发布者(NISTIR 8246)的协作漏洞元数据接受过程(CVMAP)，第4节：

单个CVE记录的当前NVD分析工作流程由两个主要阶段组成：

1. 初步分析和
2. 核查。

初始分析涉及一名NVD分析员，调查为CVE记录提供的信息，以更好地了解漏洞的特征。此分析主要集中于CVE描述和附加到外部可公开验证信息的资源链接。根据这些信息，NVD分析师开发初始CVSSv2和CVSSv3.1矢量字符串，将CWE(s)与CVE记录关联起来，确定适当的引用链接标记，并使用公共平台枚举2.3规范中定义的匹配标准构建配置。一旦初始分析完成，CVE记录的分析元数据将在验证阶段由第二个(通常是更有经验的)NVD分析师检查。这确保在根据所提供的信息对CVE记录元数据进行分析时采用了适当的标准和程序。一旦对分析的CVE记录进行了检查和批准，CVE记录元数据就会发布以供公众访问。

在协作漏洞元数据接受过程(CVMAP)中，第10.5节是明示：

配置评估尚未作为CVMAP的一部分进行。当此功能正式包含时，我们将发布公告。

这似乎取决于NVD分析师对CVE CPE信息的时间表。