NIST više neće ocenjivati neprioritetne ranjivosti u NVD bazi
BleepingComputer prenosi da je NIST od 15. aprila promenio način rada u Nacionalnoj bazi ranjivosti i da više neće dodeljivati dodatne ocene i analizu za ranjivosti koje nisu u prioritetnim grupama. NVD će i dalje unositi sve prijavljene CVE zapise, ali će detaljnije obrađivati pre svega one iz CISA KEV kataloga, one koje pogađaju softver američke savezne uprave i kritični softver definisan izvršnom uredbom 14028. Ostali zapisi mogu ostati sa ocenama i podacima koje je uneo CNA, uz status poput Not Scheduled.
Za timove koji godinama računaju na NVD kao centralni sloj za CVSS, CPE i dodatni kontekst, promena znači manje ujednačen izvor podataka za veliki broj ranjivosti. Posledica neće biti nestanak CVE zapisa, već veća zavisnost od proizvođača, CNA izvora i sopstvene procene prioriteta.
- Proveriti da li alati i procesi zavise od NVD enrichment podataka za CVSS, CPE i klasifikaciju slabosti
- Pojačati oslanjanje na vendor advisories, CNA izvore i interne procene rizika za ranjivosti bez NVD dopune
- Pregledati kako se u okruženju tretiraju CVE zapisi sa statusom Not Scheduled
- Ne koristiti odsustvo NVD ocene kao znak da ranjivost nije važna
- Ažurirati procese upravljanja ranjivostima tako da bolje podnose nepotpune ili neujednačene javne podatke