NIST diz que o NVD estará de volta aos trilhos em setembro de 2024

Eles também pretendem eliminar o acúmulo de CVEs não processados ​​do NVD até o final do ano fiscal (ou seja, 30 de setembro).

Os problemas do NVD tornaram-se óbvios em fevereiro

O NVD começou a abrandar os seus esforços de enriquecimento de CVE no início deste ano, e o NIST confirmou que está a trabalhar numa solução multifacetada que incluirá ferramentas e métodos melhorados, bem como estabelecerá um consórcio que ajudará a enfrentar vários desafios.

Tanya Brewer, gerente de programa do NVD, disse em abril que o programa NVD está considerando muitas mudanças para melhorar a identificação de software, automatizar (algumas) atividades de análise de CVE, tornar os dados do NVD mais fáceis de “consumir” e personalizar, desenvolver capacidades para publicar informações adicionais tipos de dados (por exemplo, pontuações EPSS) e muito mais.

Algumas semanas depois, a Agência de Segurança Cibernética e de Infraestrutura (CISA) iniciou um programa de “vulnriquecimento” CVE , para ajudar a preencher a lacuna atual.

NIST trabalhando duro

Em 20 de maio, o NIST informou que o NVD começou a ingerir registros CVE 5.0 e CVE 5.1 ​​para CVEs de hora em hora. Dez dias depois veio esta última e bem-vinda promessa: o NVD estará completamente de volta aos trilhos no final de setembro.

Uma notícia mais bem-vinda é que o NIST não planeja entregar as chuvas do NVD.

“Com um histórico de 25 anos fornecendo esse banco de dados de vulnerabilidades para usuários em todo o mundo e dado que não desempenhamos uma função de fiscalização ou supervisão, o NIST é especialmente adequado para gerenciar o NVD. O NIST está totalmente empenhado em manter e modernizar este importante recurso nacional que é vital para construir e manter a confiança na tecnologia da informação e promover a inovação”, afirmou a agência do Departamento de Comércio dos EUA .

“O NIST também está trabalhando em maneiras de lidar com o volume crescente de vulnerabilidades por meio de atualizações de tecnologia e processos. Nosso objetivo é construir um programa que seja sustentável no longo prazo e apoiar a automação do gerenciamento de vulnerabilidades, medição de segurança e conformidade.”

ATUALIZAÇÃO (31 de maio de 2024, 03h50 ET):

A Analygence, com sede em Maryland, é a empresa escolhida para ajudar o NIST a processar CVEs para inclusão no NVD, de acordo com a Recorded Future.

A empresa já recebeu contratos para apoiar a missão de segurança cibernética e privacidade do Laboratório de Tecnologia da Informação do NIST e da Subdivisão de Gerenciamento de Vulnerabilidade da CISA.