Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), Ulusal Güvenlik Açığı Veritabanına (NVD) dahil edilmek üzere gelen Ortak Güvenlik Açıklarını ve Etkilenmeleri (CVE’ler) işlemelerine yardımcı olmak amacıyla isimsiz bir şirket/kuruluş için bir sözleşme imzaladığını duyurdu.
Ayrıca, işlenmemiş CVE’lerden oluşan NVD birikimini mali yılın sonuna kadar (yani 30 Eylül) temizlemeyi hedefliyorlar.
NVD’nin sorunları Şubat ayında belli oldu
NVD, bu yılın başlarında CVE zenginleştirme çabalarını yavaşlatmaya başladı ve NIST, gelişmiş araç ve yöntemlerin yanı sıra çeşitli zorlukların üstesinden gelmeye yardımcı olacak bir konsorsiyum kurmayı da içerecek çok yönlü bir çözüm üzerinde çalıştıklarını doğruladı.
NVD program yöneticisi Tanya Brewer, Nisan ayında NVD programının yazılım tanımlamayı geliştirmek, (bazı) CVE analiz faaliyetlerini otomatikleştirmek, NVD verilerinin “tüketilmesini” ve özelleştirilmesini daha kolay hale getirmek, ek yayınlama yetenekleri geliştirmek için birçok değişiklik düşündüğünü söyledi. veri türleri (örneğin, EPSS puanları) ve daha fazlası.
Birkaç hafta sonra Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), mevcut açığı kapatmaya yardımcı olmak amacıyla bir CVE “güvenlik açığı” programı başlattı.
NIST sıkı çalışıyor
20 Mayıs’ta NIST, NVD’nin CVE’ler için CVE 5.0 ve CVE 5.1 kayıtlarını saatlik olarak almaya başladığını söyledi. On gün sonra şu son ve hoş söz geldi: NVD, Eylül ayı sonuna kadar tamamen yoluna girecek.
Daha hoş bir haber ise NIST’in NVD’nin yağmurlarını devretmeyi planlamaması.
“Bu güvenlik açıkları veritabanını dünyanın dört bir yanındaki kullanıcılara sunma konusunda 25 yıllık bir geçmişe sahip olan ve bir yaptırım veya gözetim rolü oynamadığımız göz önüne alındığında, NIST, NVD’yi yönetmek için benzersiz bir şekilde uygundur. NIST, bilgi teknolojisine güven oluşturmak ve sürdürmek ve yeniliği teşvik etmek için hayati önem taşıyan bu önemli ulusal kaynağı korumaya ve modernleştirmeye tamamen kararlıdır” dedi.
“NIST aynı zamanda teknoloji ve süreç güncellemeleri yoluyla artan miktardaki güvenlik açıklarını gidermenin yolları üzerinde de çalışıyor. Amacımız uzun vadede sürdürülebilir bir program oluşturmak ve güvenlik açığı yönetimi, güvenlik ölçümü ve uyumluluğun otomasyonunu desteklemektir.”