Национальный институт стандартов и технологий (NIST) прекращает присваивать оценки критичности уязвимостям с низким приоритетом в NVD из-за резкого роста числа заявок. С 15 апреля будут анализироваться только критические уязвимости. — bleepingcomputer.com
Национальный институт стандартов и технологий (NIST) прекратит присваивать оценки критичности уязвимостям с низким приоритетом из-за растущей нагрузки, связанной с увеличением числа поступающих заявок.
Начиная с 15 апреля, служба будет анализировать и предоставлять дополнительную информацию (например, рейтинг критичности, списки продуктов) только для проблем безопасности, соответствующих определенным критериям, связанным с представляемым риском.
Национальная база данных уязвимостей (NVD) по-прежнему будет содержать все поданные уязвимости, но тем, которые считаются низкоприоритетными, оценка критичности будет присваиваться только органом по нумерации CVE (CNA), который их оценил и представил.
В объявлении, сделанном на этой неделе, федеральное агентство, не обладающее регуляторными полномочиями, заявило, что будет предоставлять дополнительную информацию только для уязвимостей, отвечающих одному из следующих критериев:
- включены в каталог известных эксплуатируемых уязвимостей (KEV) CISA
- затрагивают программное обеспечение федерального правительства США
- связаны с критически важным программным обеспечением согласно Исполнительному указу 14028
NIST пояснил, что это решение обусловлено большим количеством заявок, которое недавно выросло на 263% и продолжает ускоряться в 2026 году. В 2025 году организация обогатила данными 42 000 CVE, но больше не может справляться с растущим объемом.
NIST NVD — это общедоступная централизованная база данных известных уязвимостей программного и аппаратного обеспечения, которая, помимо уникальных идентификаторов (CVE ID), присваиваемых CNA, таких как производители и некоммерческая корпорация The MITRE Corporation, предоставляет дополнительные описания и аналитику.
Цель обогащения сведений об уязвимостях — сделать записи CVE пригодными для управления рисками, включая присвоение оценок критичности, определение затронутых версий продуктов, классификацию слабых мест и предоставление ссылок на консультации, исправления или связанные исследования.
NIST NVD используется повсеместно специалистами по безопасности, поставщиками программного обеспечения, государственными учреждениями, ИТ-специалистами, журналистами и обычными пользователями, ищущими дополнительную информацию о конкретной проблеме безопасности.
«Все поданные CVE по-прежнему будут добавляться в NVD. Однако те, которые не соответствуют вышеуказанным критериям, будут классифицированы как „Не запланировано“», — объясняет NIST.
«Это позволит нам сосредоточиться на CVE с наибольшим потенциалом широкого воздействия. Хотя CVE, не соответствующие этим критериям, могут оказать значительное влияние на затронутые системы, они, как правило, не представляют такого же уровня системного риска, как те, что входят в приоритетные категории».
NIST признает, что новые правила допускают пропуск некоторых потенциально высокорисковых CVE. По этой причине агентство принимает запросы на обогащение данных для «любых CVE с самым низким приоритетом» по электронной почте на адрес ‘nvd@nist.gov.’
Отсутствие обогащения или заметные задержки наблюдались с 2024 года, но теперь организация официально объявила, что сосредоточится на наиболее важных записях.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas