Почему институт больше не дает ответов на самые важные вопросы?
Национальный институт стандартов и технологий США (NIST) пытается усовершенствовать свою Национальную базу уязвимостей (NVD). Однако текущие изменения вызывают обеспокоенность многих организаций, которые пользуются этой базой регулярно, чтобы обезопасить свои системы.
Проблема возникла в середине февраля 2024 года: тогда исследователи заметили, что подробности о важнейших угрозах стали появляться в NVD все реже.
Обычно в NVD добавляют все критически важные метаданные о раскрытых уязвимостях: общие описания, списки затрагиваемого ПО, оценки степени опасности и т.д.
Без этих сведений IT-специалисты узнают о наличии проблем, но выяснять, где именно они существуют, насколько серьезны и как их можно устранить, приходится самостоятельно. С февраля в базу было добавлено свыше 2500 уязвимостей без подробного описания.
Естественно, ситуация вызвала недовольство в отрасли, и NIST пришлось отреагировать. Спустя несколько дней институт объявил о возможных «задержках в аналитической работе». Связано это с тем, что организация якобы создала консорциум для устранения недочетов в NVD и разработки усовершенствованных инструментов анализа.
Однако это заявление, кажется, лишь усилило напряжение. Некоторые специалисты запросили детали о составе и порядке работы консорциума. Другие усомнились в необходимости столь кардинальных перемен, учитывая, что отрасль наладила «довольно эффективную» систему, которая использовалась и приносила результаты многие годы. NIST пока не предоставил дополнительных разъяснений.
По одной из версий, институт планирует заменить используемые в настоящее время идентификаторы CPE (Common Product Enumerators) на теги SWID (Software Identification tags).
CPE (Common Product Enumerator) — это способ присвоить программному продукту уникальный идентификатор в строгом формате из нескольких полей (вендор, продукт, версия и т.д.).
SWID (Software Identification Tags) — это более развернутый формат на базе XML для описания установленного ПО. В тегах SWID содержится много дополнительной информации помимо идентификатора — сведения о лицензиях, патчах, файлах, криптографических хэшах.
Однако это пока что всего лишь догадки.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале