文章总结： 该报告由外国安全研究人员撰写，深入分析了中国两大国家漏洞库CNNVD和CNVD。核心发现包括：中国漏洞库在法规驱动下形成有序管控模式，与西方自由披露模式形成对比；存在少量漏洞（约1400个）的发布时间显著早于CVE；数据库收录了大量未关联CVE的本土软硬件漏洞，但也存在数据录入错误、标准化不足等问题。报告认为，尽管CVE体系在生态丰富度上仍占优，但中国漏洞库的崛起为全球漏洞治理提供了重要备份和多元视角。 综合评分： 65 文章分类： 漏洞分析,政策法规,威胁情报,安全建设,其他

外国安全研究人员眼中的中国两大网络安全漏洞库

原创

网空闲话 网空闲话

网空闲话plus

2026年2月23日 07:42 北京

当全球网络安全行业习惯了以CVE编号作为漏洞的“身份证”、以NVD的分析作为修补的优先级指南时，2024年至2025年间发生的一系列事件——NVD的分析工作严重滞后、CVE项目的资金险些断流——动摇了这一体系的稳定性。这一“西方中心”漏洞生态的脆弱性，迫使安全研究者将目光投向了东方。2026年2月18日，美国知名网络安全公司Bitsight的首席研究科学家本·爱德华兹发表了一份题为《红色漏洞的崛起：审视中国国家漏洞数据库》的长篇研究报告。这份报告以技术剖析的姿态，深入审视了中国两个并行的国家漏洞库——CNNVD（中国国家信息安全漏洞库）和CNVD（国家信息安全漏洞共享平台）。研究者试图回答一个核心问题：在CVE体系可能失灵的“后西方时代”，中国的漏洞库里究竟藏着什么？

镜像与盲区：中国漏洞库的双重面孔

研究首先确认了一个基本事实：中国拥有两个由国家力量主导的漏洞库，且分工明确。

CNNVD由中国信息安全测评中心运行，受国家安全机关指导。研究者推测，该数据库的建设逻辑可能更侧重于“进攻能力的支撑”，当漏洞由国际来源披露时，会迅速被CNNVD收录并公开。在实践中，CNNVD很大程度上扮演着CVE的“镜像”角色。

CNVD则由国家计算机网络应急技术处理协调中心运行，其职能更贴近传统的“防御性”应急响应：收录漏洞、向防御者发出警告。

研究数据显示，这两个数据库的增长曲线与MITRE的CVE列表基本对齐。这并不意外，因为大量收录的漏洞本身就是国际通用的。然而，在镜像的背后，研究者发现了显著的差异。

时间的竞赛：谁在抢先发布？

研究中最引人注目的发现，是关于漏洞发布时间差的量化分析。通过对2011年以来数据的梳理，研究者试图厘清：中国的漏洞库是否比西方更早发布信息？

结论是复杂且微妙的。数据显示，绝大多数情况下（约99%），CVE/NVD的发布早于或持平于中国数据库。然而，研究者识别出大约1400个案例，其中中国漏洞库的发布时间显著早于CVE。在这些案例中，中国的发布平均比CVE早了约三个月。

以CVE-2022-47375为例，这是一个西门子产品的缓冲区溢出漏洞。CVE的发布日期为2023年12月12日，而CNNVD-202208-5054的发布日期为2022年8月19日，提前了近四个月。另一个案例CVE-2022-4886的CVE发布于2023年10月25日，而CNNVD-202204-4683早在2022年4月12日就已发布。

研究者谨慎地排除了“保留但公开”的情况，并承认部分日期可能存在录入错误。但即便采取最严格的校准，这一“超前发布”的子集依然存在。这引出了一个关键问题：这些信息来自何处？是中国的研究者独立发现并先行通报给国家库，还是国际上的发现通过非公开渠道提前流入了中国的系统？研究报告未给出定论，但指出这些早期发布的漏洞描述，与后来CVE发布的英文描述“惊人地相似”。

政策的分水岭：RMSV带来的秩序

2021年7月，中国实施了《网络产品安全漏洞管理规定》。这项法规被研究者视为理解中国漏洞生态的分水岭。报告将其核心要点归纳为：发现漏洞后需在48小时内向工信部报告；在补丁可用前禁止分享细节；禁止发布概念验证代码或利用工具；禁止夸大漏洞严重性。

研究者将其与西方的“协调披露”实践进行了对比，指出在西方，研究者拥有较大的自主权，可以自行决定披露方式和时间，而中国的模式是“强制性的”和“规定好的”，优先顺序是“可管理性和对披露节奏的控制”。

这种对比本身，暴露了两种不同的治理哲学。在西方视角下，这可能被视为对信息自由的“限制”；而从另一个角度看，这正是中国试图从源头遏制漏洞被恶意利用、建立有序生态的尝试。

数据质量：严谨与粗糙的并存

研究报告对中国漏洞库的数据质量进行了细致的技术审查，结论具有两面性。

一方面，数据库存在不少“卫生问题”。研究者发现，在XML格式的导出文件中，存在大量解析错误。部分CVE编号存在明显的拼写错误，如字母缺失、分隔符错误（“=”代替“-”），甚至年份错位。这表明，部分数据的录入可能存在人工编辑环节，而非全自动的系统对接。更严重的是，部分条目的发布日期被标记为“1900-01-01”——这是微软系统的默认空值，暗示着关键时间信息的完全缺失。对于试图通过自动化工具匹配漏洞的防御者而言，这些错误构成了实际的“摩擦”。

另一方面，数据的结构化和规范化程度正在提高。研究分析了漏洞的“严重性”分级，发现尽管分级标签与CVSS的定性描述相似，但统计分布存在差异。尤其是在CNNVD中，当中国率先发布漏洞时，大量漏洞的严重性被标为“未知”。研究者推测，这是因为中国库在发布初期尚未获得西方的评分，需等待后续补充。这反而印证了中国库对国际信息的依赖，以及其在缺乏外部参考时的审慎态度。

“无CVE的漏洞”：暗处的威胁与本土的关注

研究的另一大重点，是那些在CNVD和CNNVD中存在、却未与任何CVE ID关联的漏洞。数据显示，在2021年政策变化前后，两类数据库对此类漏洞的发布策略出现了明显分化。

CNVD在政策实施后，发布“无CVE漏洞”的节奏显著放缓。而CNNVD则在政策实施前一年就开始减少此类发布，但在最近一年又出现了显著增长。

研究者列举了三个典型案例：

CNVD-2024-48432：涉及西门子SIMATIC PCS neo系统的缓冲区溢出漏洞。描述清晰，与后来发布的CVE-2024-33698高度匹配。

CNVD-2021-03304：涉及微软OneDrive的DLL劫持漏洞。发布时没有对应的CVE，直到9个月后，西方才出现类似的漏洞记录。

CNVD-2025-07703：涉及“上海某信息技术股份有限公司”的运维管理审计系统存在命令执行漏洞。这是一款明显面向中国本土市场的产品。

此外，CNVD中一个名为“isEvent”的字段曾引起研究者兴趣，他们推测这可能标记了“已被用于真实攻击的漏洞”。但深入分析后发现，除74条标注为“事件型漏洞”（主要涉及2020年夏季的加密货币盗窃事件）的记录外，其余绝大多数均为“通用软硬件漏洞”。这表明，该字段的实际定义与西方惯常理解的“已利用漏洞”并不相同，再次印证了中国数据库在分类逻辑上的自主性。

这些案例勾勒出中国漏洞库的“盲区”与“视区”：对于国际通用软件，它们尽力映射；对于中国本土的专用软硬件，它们则承担了“独家收录”的职能。那些没有CVE编号的漏洞，可能正是西方世界未曾感知的风险。

结论与评价：寻找CVE之外的“备份”

综合来看，这份外国研究者的报告，既是对中国漏洞库的一次客观测绘，也隐含着西方业界对自身体系危机的焦虑投射。

从客观陈述来看，研究者确认了以下事实：

体系存在：中国拥有两个独立、活跃、且规模不断增长的国家级漏洞库。

监管严格：RMSV法规确立了一套与西方自愿性协调披露截然不同的、自上而下的管理秩序。

数据先行：存在一小部分（约1400个）漏洞由中国库率先发布，平均提前约3个月，且部分描述与后续CVE高度吻合。

本土覆盖：中国库收录了大量与CVE无关联的漏洞，尤其是针对中国本土市场的软硬件产品。

质量问题：数据库在自动化对接、日期标注、字段一致性等方面存在明显的“手工操作”痕迹和错误。

而从主观评价与意图来看，研究者的结论更值得玩味：

研究者最终指出，尽管CVE体系存在质量和一致性问题，但“它仍然比中国公开提供的数据高出一头”。CVE体系下的CWE、CPE、CVSS等标准化框架，构成了一个“机器可读”、可扩展的丰富生态系统，而这正是中国漏洞库目前所缺失的。

这一结论，表面上是技术优劣的比较，实则隐含着一整套西方中心的价值预设。它将CVE体系的“复杂性”等同于“先进性”，并以此作为唯一的衡量标尺。然而，这种比较忽略了两种体系追求的不同目标：西方模式追求信息的“自由流通”，哪怕伴随资金断流、数据积压的风险；中国模式则追求信息的“有序管控”，哪怕意味着国际融合度的降低和录入效率的牺牲。

更耐人寻味的是，研究者在对中国库提出诸多批评之后，话锋一转，向西方业界发出了一个意味深长的警示：“有远见的安全领导者，应该制定应急计划，以应对在一个CVE或其他西方生态系统可能对其面临的风险存在盲点的世界里，如何管理漏洞。”这种矛盾修辞恰恰暴露了其内心的战略焦虑：他们越是强调CVE体系的优越性，就越是担心这个体系可能失灵；他们越是批评中国库的缺陷，就越是意识到，如果CVE真的倒下，中国库可能是他们不得不依赖的备选方案。

辩证的审视：秩序与自由之争

这篇报告的价值，在于它打破了西方业界对CVE/NVD体系的路径依赖，揭示了全球漏洞治理正在走向多元化的现实。中国模式的核心是“秩序优先”：通过法规强约束，确保漏洞在被恶意利用前得到控制，将信息流通置于国家监管之下。而西方模式的核心是“自由优先”：依赖研究者的良知和行业自律，通过充分的信息共享加速防御。

这两种模式各有优劣。中国的模式可能在某些情况下延迟了信息的全球流通，但减少了对立竿见影的零日攻击的恐慌；西方的模式促进了快速响应，但也承受着资金断流、数据积压和研究者随意披露带来的风险。

对于中国的读者而言，这份报告提醒我们，CNNVD和CNVD不仅是防御的基石，也正在成为国际网络安全版图中不可忽视的力量。它们在数据录入自动化、格式标准化、与国际体系更深度的融合上，仍有巨大的优化空间。而对于全球网络安全行业而言，中国漏洞库的存在，既是一面镜子，也是一个备份——在一个高度不确定的时代，多一个可靠的信息源，总比唯一的支柱崩塌要好。

参考资源

1、Chinese Vulnerability Database: CNVD vs CNNVD Analysis | Bitsight

2、https://www.securitylab.ru/news/569614.php

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《外国安全研究人员眼中的中国两大网络安全漏洞库》