超過3/4的漏洞在美國國家漏洞數(shù)據(jù)庫(NVD)發(fā)布之前就在網(wǎng)上公布了。新聞站點、博客和社交媒體頁面，以及常人無法觸及的暗網(wǎng)、便箋網(wǎng)站和犯罪論壇，往往比美國國家標準與技術局(NIST)統(tǒng)管的國家漏洞庫更快公布漏洞。

威脅情報公司 Recorded Future 表示：“非官方與官方CVE溝通之間的錯位，增加了CISO和安全團隊的負擔，讓他們不知不覺間面對潛在漏洞利用毫無防護，無法對自己的安全策略做出戰(zhàn)略性英明決策。”

2016年初收集的數(shù)據(jù)，以及對1.25萬安全漏洞的分析表明：CVE從曝光到最終發(fā)布在NIST的NVD里，中間的時間延遲平均有7天。

公開揭露到官方通告之間的7天延遲，將企業(yè)置于重大威脅風險之中，并對官方披露渠道的可靠性提出質疑。廠商聲明和NVD公布之間的時間差甚至更長，最快的廠商1天后即發(fā)出警告，最慢的發(fā)布則平均延遲172天。微軟和Adobe很快，IBM和Apache反應遲緩。

5%的漏洞都先于NVD在暗網(wǎng)上披露上細節(jié)，且通常比預期的嚴重性要高。舉個例子，臟牛漏洞 (CVE-2016-5195)，其概念驗證代碼在NVD公布15天前就在Pastebin上發(fā)布了。原始安全報告被翻譯成了俄語，并在報告披露2天后貼到了漏洞利用論壇上。

2016年，超500個CVE在網(wǎng)上申報，且至今仍在等著NVD的發(fā)布。

Recorded Future 首席執(zhí)行官克里斯托弗·阿爾博格表示：“長久以來人們一直認為，非官方和官方源在漏洞披露上存在很長的時間延遲。該研究清晰表明，NVD和官方報告渠道無法跟上野生CVE的體量。公司企業(yè)需要查閱其他源，才能應用有意義且可執(zhí)行的情報做好自身安全防護。”

Recorded Future 認為，公司企業(yè)需要采用主動和基于風險的方法來解決漏洞問題，利用來自更難以訪問的站點的情報，比如暗網(wǎng)。雖然難以觸碰，這些幽暗場所卻是新威脅和潛在零日漏洞最先被討論的地方。