Молчание NIST: теперь IT-компании вынуждены бороться с уязвимостями в одиночку

Национальный институт стандартов и технологий США (NIST) пытается усовершенствовать свою Национальную базу уязвимостей (NVD). Однако текущие изменения вызывают обеспокоенность многих организаций, которые пользуются этой базой регулярно, чтобы обезопасить свои системы.

Проблема возникла в середине февраля 2024 года: тогда исследователи заметили, что подробности о важнейших угрозах стали появляться в NVD все реже.

Обычно в NVD добавляют все критически важные метаданные о раскрытых уязвимостях: общие описания, списки затрагиваемого ПО, оценки степени опасности и т.д.

Без этих сведений IT-специалисты узнают о наличии проблем, но выяснять, где именно они существуют, насколько серьезны и как их можно устранить, приходится самостоятельно. С февраля в базу было добавлено свыше 2500 уязвимостей без подробного описания.

Естественно, ситуация вызвала недовольство в отрасли, и NIST пришлось отреагировать. Спустя несколько дней институт объявил о возможных «задержках в аналитической работе». Связано это с тем, что организация якобы создала консорциум для устранения недочетов в NVD и разработки усовершенствованных инструментов анализа.

Однако это заявление, кажется, лишь усилило напряжение. Некоторые специалисты запросили детали о составе и порядке работы консорциума. Другие усомнились в необходимости столь кардинальных перемен, учитывая, что отрасль наладила «довольно эффективную» систему, которая использовалась и приносила результаты многие годы. NIST пока не предоставил дополнительных разъяснений.

По одной из версий, институт планирует заменить используемые в настоящее время идентификаторы CPE (Common Product Enumerators) на теги SWID (Software Identification tags).

CPE (Common Product Enumerator) — это способ присвоить программному продукту уникальный идентификатор в строгом формате из нескольких полей (вендор, продукт, версия и т.д.).

SWID (Software Identification Tags) — это более развернутый формат на базе XML для описания установленного ПО. В тегах SWID содержится много дополнительной информации помимо идентификатора — сведения о лицензиях, патчах, файлах, криптографических хэшах.

Однако это пока что всего лишь догадки.