Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
GBlock · 21.4., 04:37 · sikkerhet

NIST slutter å score flertallet av CVE-er — ditt sårbarhets-scan-verktøy baserer seg på data som snart ikke finnes

SYNOPSIS_GENERERT

NIST kunngjorde at National Vulnerability Database fra 15. april 2026 kun vil berike CVE-er som står på CISAs KEV-liste, rammer føderale systemer, eller er «kritisk programvare» under Executive Order 14028. Resten — det store flertallet — får ingen CVSS-validering eller CPE-matching.

«Submissions in early 2026 are running 263% higher than the comparable period a year earlier. The trajectory continues to accelerate.» — NIST, i policy-kunngjøringen

NIST publiserte policy-endringen 17. april. NVD beriket over 42 000 CVE-er i 2025, men innsendingene i 2026 kommer inn i et 263 prosent høyere tempo. Fra nå får kun CVE-er som møter ett av tre kriterier full behandling: de står på CISAs Known Exploited Vulnerabilities-liste, de rammer programvare brukt av amerikanske myndigheter, eller de er «critical software» under Executive Order 14028. Alt annet havner i en ny status-bøtte kalt «Not Scheduled».

Hva det faktisk endrer

Et CVE består av en identifikator (fra MITRE) og en kontekst-berikelse (fra NIST): validert CVSS-score, Common Platform Enumeration-matching mot spesifikke produkt-versjoner, svakhetskategori og opprydding av referanser. Uten NIST-berikelsen sitter du igjen med det CVE Numbering Authority-en (ofte leverandøren selv) fant for godt å sende inn. Leverandører scorer rutinemessig ned alvorlighetsgrad for å unngå omdømme-skade, eller opp for å presse kunder til å oppgradere.

For deg som utvikler betyr det at sårbarhetsscannere som Trivy, Grype, Tenable, Qualys og Snyk baserer seg på data som nå har høyere varians og mindre autoritet. Compliance-regimer som peker på «NVD CVSS score» — inkludert PCI DSS sine 30-dagers-frister for «high»-funn — er brått på glatt is.

Alternativene

CISAs KEV-liste har allerede blitt de facto «må patches»-listen for både føderale og private programmer. Exploit Prediction Scoring System (EPSS) fra FIRST gir daglige sannsynlighets-estimater for utnyttelse, og er bevist bedre prioriterings-input enn CVSS for de fleste team. EU sin European Vulnerability Database (ENISA) kommer senere i 2026 og vil dublere mye av NVD-rollen regionalt.

>_ NØKKELTALL
42 000+ CVE-er beriket i 2025
263 % høyere innsendings-volum i 2026
3 kriterier for berikelse: KEV-liste, føderale systemer, eller EO 14028-kritisk programvare
15. april 2026
datoen policyen trådte i kraft

Hva bør du gjøre?

  1. Flytt prioriterings-logikken fra CVSS til KEV + EPSS. Automatiser ingestion av CISA KEV-oppdateringer inn i ticketing-systemet ditt.
  2. Revider compliance-dokumentasjon. Enhver intern policy eller kontrakt som refererer til «NVD CVSS-score» uten å spesifisere sannhetskilde må oppdateres — legg til eksplisitt fallback-språk for ikke-berikede CVE-er.
  3. Spør scanner-leverandøren din hvor data kommer fra for «Not Scheduled»-CVE-er. Hvis de ikke har et svar, vurder å supplere med VulnCheck, Snyk eller OSV-Scanner.

Bakgrunn

NVD har i 20 år vært en stille, offentlig finansiert subsidie til hele den kommersielle sårbarhets-industrien. Scanner-leverandører, GRC-verktøy og compliance-revisorer har spist NIST-beriket data som om den var gratis og uendelig. Volum-eksplosjonen stammer fra tre strukturelle skift: KI-assisterte fuzzers som finner sårbarheter i skala (Anthropics eget team fant en 27 år gammel feil med 1 000 modellkall), CNA-programmet som har gått fra ~200 til 400+ organisasjoner siden 2022, og NIST-budsjetter som har vært flate i reelle tall siden 2020.

Åpne eksternt kildedokument
sikkerhetagenterregulering

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN