- CVE投稿の急増により、NISTが国家脆弱性データベースの充実プロセスを変更
- 2020年以降263%の増加;KEVエントリ、連邦政府ソフトウェア、およびEO 14028の下での重要なソフトウェアに優先順位が付与
- 他のCVEは「最低優先度」と見なされていますが、ユーザーが必要に応じてメールで充実を要求できます
報告された脆弱性の数が急激に増加しているため、国立標準技術研究所(NIST)は各エントリを「充実」させる方法を変更するよう余儀なくされました。
これまで、NISTは基本的なCVEレコードを取得し、構造化された分析を追加して、国家脆弱性データベース(NVD)でより有用にしていました。これには通常、深刻度スコアリング(CVSS)、影響を受ける製品(CPE)、弱点分類(CWE)、および追加のメタデータが含まれます。
ただし、2020年から2025年の間に、CVE投稿が263%増加したとNISTは述べており、この傾向がすぐにはおさまらないと予想していないと付け加えました。「2026年の最初の3か月間の投稿は、昨年の同じ時期と比べてほぼ3分の1高くなっています」と述べています。
記事は以下に続きます
KEVリスト化されたものの優先順位付け
需要の増加に対応できるようにするため、NISTは特定の基準を設定しています。これらを満たす投稿は可能な限り早く充実させられますが、満たさないものは待つ必要があります。NISTはこれらの「最低優先度」投稿をまったく充実させないとは言いませんでしたが、代理店が毎日新しいエントリで溢れかえっている場合、多くのものがカバーされることはないと考えるのが妥当です。
4月15日から、NISTはCISAの既知の悪用脆弱性(KEV)カタログに表示されるCVE、連邦政府内で使用されるソフトウェアのCVE、および大統領令14028で定義された重要なソフトウェアのCVEを優先すると述べました。
それ以外のすべては「最低優先度」と見なされますが、NISTは他のCVEが影響を受けたシステムに重大な影響を与えないという意味ではないと述べています。
「これらの基準は、潜在的に高い影響を与えるすべてのCVEをキャッチしない可能性があります」と警告しました。「したがって、ユーザーは[email protected]にメールを送ることで、最低優先度のCVEの充実を要求できます。私たちはそれらのリクエストを確認し、リソースが許す限りCVEを充実させるようにスケジュールします。」
重要なソフトウェアの完全な定義と新しいワークフローの説明は、このページに記載されています。
