CVE Enrichment Observatory

CVE メタデータが公開後どの時間軸で充填されるかの縦断観測
新規公開された CVE の各種情報(CVSS を発行元別に / CPE / SSVC の各項目 / EPSS / KEV / ベンダー情報 / PoC)が、CVE の公開時刻からどれだけの時間で付いてくるかを観測した 一次データを可視化する。付与までの時間の集計は、公開直後から観測できた CVEだけを 対象にする(本システムが観測を始める前に既に情報が付いていた古い CVE は、正しく時間を 測れないため集計から除く)。

データ取得の状況(取得済み / 未付与 / 取得失敗)

情報源ごとの取得状況。取得済み=値が取れた、 未付与=取得は成功したが値がまだ付いていない(変化なし)、 取得失敗=エラーで取得できなかった(要改善)。この 3 つを混同せず 分けて記録するのが観測研究の要。大量に問い合わせると取得失敗が増えるため、ここで情報源ごとに 失敗率と状態を監視する。

公開から 0 / 1 / 3 / 7 日でどれだけ情報が揃うか

各情報が、CVE 公開から N 日以内に付いた割合(公開直後から観測できた CVE が対象)。 SSVC の判断に必要な入力(Exploitation / Automatable / Technical Impact)が公開当日(Day 0)に どれだけ揃うか、CVSS がどの発行元から来るかが一目で分かる。

公開からの経過時間ごとの付与割合(累積)

横軸は CVE 公開からの経過時間、縦軸はその時間までに情報が付いた CVE の割合 (公開直後から観測できた CVE が対象)。凡例をクリックで表示切替。早く立ち上がる線ほど 公開直後に付く情報。

CVSS はどこから来るか(発行主体別)

トリアージ移行後、CVSS が CNA / CISA-ADP / NVD のどこからどれだけ来るか。 NVD がもはや第一の情報源でないことを到達割合で示す。

CVE 別の情報付与(公開からの経過時間)

各 CVE に、公開時刻からどれだけの時間で各情報が付いたか(時間/日)。 「開始前に公開」の古い CVE(2022〜2025 等)が混じるのは、それらが最近レコードを更新 されて変更フィードに現れ、追跡対象に入ったため(公開自体は昔なので付与時間の集計からは除外)。

生の観測ログ(一度書いたら変更しない Parquet)から集計。取得済み / 未付与 / 取得失敗を 厳密に区別し、発行元の申告時刻と本システムの取得時刻の両方を保持する。 ·  データ源: cvelistV5 / NVD / CISA KEV / FIRST EPSS / ベンダー CSAF / 公開 PoC(すべて公開情報)。