Common Vulnerabilities and Exposures（CVE）は、リリースされる前に米国政府によって使用できますか？

（米国だけでなく）政府が実際に既知の脆弱性を利用していることは非常に明白です。少なくとも大多数のCVEは、一般公開前に問題を修正できるようにするためにベンダーに通常提供される遅延を除いて、意図的に遅延されているとは思えません。 CVEはさまざまなソースから報告されており、政府によって簡単に傍受されることはありません。

ただし、証明可能なエクスプロイトに対して100万ドルの脆弱性バウンティを提供するサードパーティが存在するという点で、かなり大きな問題があります。これらは、ベンダーが通常提供するバグバウンティよりもはるかに大きいものです。多くの場合、脆弱性は政府に販売され、公開されません。

可能ですが、可能性は低いです。これの主な理由は、CVEが最終的に公開され、（うまくいけば）ベンダーによって修正されることです。これは、脆弱性を使用する機会の小さなウィンドウを与えるだけです。明らかに、パッチのリリースからインストールまでの長いリードタイムを考慮していません。

それらを直接開発または購入し、情報を公開せずに使用する方がはるかに優れています。これにより、潜在的なターゲットがチップになる可能性があります。