情報源ごとの取得状況。取得済み=値が取れた、 未付与=取得は成功したが値がまだ付いていない(変化なし)、 取得失敗=エラーで取得できなかった(要改善)。この 3 つを混同せず 分けて記録するのが観測研究の要。大量に問い合わせると取得失敗が増えるため、ここで情報源ごとに 失敗率と状態を監視する。
各情報が、CVE 公開から N 日以内に付いた割合(公開直後から観測できた CVE が対象)。 SSVC の判断に必要な入力(Exploitation / Automatable / Technical Impact)が公開当日(Day 0)に どれだけ揃うか、CVSS がどの発行元から来るかが一目で分かる。
横軸は CVE 公開からの経過時間、縦軸はその時間までに情報が付いた CVE の割合 (公開直後から観測できた CVE が対象)。凡例をクリックで表示切替。早く立ち上がる線ほど 公開直後に付く情報。
トリアージ移行後、CVSS が CNA / CISA-ADP / NVD のどこからどれだけ来るか。 NVD がもはや第一の情報源でないことを到達割合で示す。
各 CVE に、公開時刻からどれだけの時間で各情報が付いたか(時間/日)。 「開始前に公開」の古い CVE(2022〜2025 等)が混じるのは、それらが最近レコードを更新 されて変更フィードに現れ、追跡対象に入ったため(公開自体は昔なので付与時間の集計からは除外)。