为什么开发人员需要了解NVD以外的漏洞数据？

NVD漏洞数据库等公共信息源是获取公开披露的开源软件漏洞信息的第一步。但请切记，任何NVD CVE条目的报告都可能存在滞后。

NVD漏洞数据库包括安全清单参考、与安全相关的软件缺陷，配置错误、产品名称和影响范围等数据；CVE通用漏洞披露参考系统为每个公开披露的安全漏洞分配一个CVE标识号。然后将这些识别号提供给研究人员、漏洞披露者和信息技术供应商。

虽然CVE通用漏洞披露和NVD漏洞数据库是分开的，但是也相互关联。NVD建立在CVE列表上，并与CVE列表同步，因此对CVE的任何更新应出现在NVD中。

NVD的问题在于它通常包含不完整的漏洞数据。在一段时间内（几天、几周、几个月甚至几年），CVE的信息可能不会出现在NVD数据库中。有时是因为这些漏洞尚未公开，或者仅仅是因为没有资源可用于研究该条目。

比如，新思科技发布的《2020开源安全和风险分析报告》列出的10大漏洞中，有四个在报告发布时还没有直接与CVE关联。我们在23%被审计的代码库中发现最多的漏洞与jQuery 1.x 和 2.x 的安全有关 —— 具体来说，传递给函数parseHTML的事件属性中包含的脚本如何立即被执行。

如果您采用了新思科技的Black Duck软件组件分析解决方案，则可以获得Black Duck安全顾问系统（BDSA）发布的漏洞数据。

BDSA 是新思科技安全研究团队(CyRC)确定的一类开源漏洞，其可提供早期漏洞通知以及安全洞察、技术细节以及升级/补丁指导。BDSA发布漏洞数据时往往NVD还未收录这些漏洞。使用BDSA，您可以更早地收到影响代码库的漏洞的通知（通常这些漏洞在几天或几周后会出现在NVD中）。

此外，BDSA记录还为所有漏洞提供了关键的CWE（通用缺陷列表）分类，方便用户可以深入了解所暴露的漏洞的类型。CWE是呈现有安全风险的软硬件缺陷的列表。