Powrót do strony głównej

NIST priorytetyzuje CVE: co zmieniło się w NVD

NIST wprowadził priorytetyzację przetwarzania CVE w NVD z powodu gwałtownego wzrostu liczby podatności. Teraz tylko wysokiego ryzyka CVE otrzymują pełną analizę. Artykuł wyjaśnia nowe kryteria, zmiany w procesach pracy i konsekwencje dla branży.

NIST zmienia reguły gry: tylko krytyczne CVE otrzymają przetwarzanie
Advertisement 728x90

NIST wprowadza priorytetyzację CVE: jak to zmieni zarządzanie podatnościami

Narodowy Instytut Standardów i Technologii (NIST) oficjalnie przeszedł na model przetwarzania podatności oparty na ryzyku. Od 15 kwietnia 2026 roku tylko CVE spełniające surowe kryteria priorytetu będą otrzymywać pełną analityczną obróbkę w Narodowej Bazie Danych Podatności (NVD). Pozostałe będą oznaczane jako „Nie zaplanowano". Ta decyzja wynika z 263-procentowego wzrostu liczby zgłoszeń CVE w latach od 2020 do 2025 oraz niemożności utrzymania poprzedniego poziomu ręcznego wzbogacania danych.

Dlaczego NIST zmienił podejście do przetwarzania CVE

Objętość danych o nowych podatnościach osiągnęła punkt krytyczny. W 2025 roku w NVD zarejestrowano prawie 42 000 CVE — o 45% więcej niż w jakimkolwiek poprzednim roku. W ciągu pierwszych trzech miesięcy 2026 roku liczba zgłoszeń wzrosła jeszcze o jedną trzecią. Tymczasem zasoby NIST są ograniczone, a ręczna weryfikacja i wzbogacanie każdej pozycji wymaga znacznych nakładów czasu i personelu.

Wcześniej NIST dążył do zapewnienia jednolitej i kompletnej informacji o wszystkich podatnościach: ocen CVSS, szczegółów technicznych, linków do patchy. Teraz instytut uznaje, że taki model jest przestarzały. Celem nowej strategii jest skupienie się na podatnościach o największym potencjale szerokiego wpływu na infrastrukturę i bezpieczeństwo.

Google AdInline article slot

Kryteria priorytetyzacji: które CVE otrzymają obróbkę

Zgodnie z zaktualizowaną polityką, pełna obróbka w NVD jest gwarantowana tylko dla następujących kategorii podatności:

  • Podatności włączone do katalogu Known Exploited Vulnerabilities (KEV) Agencji ds. Cyberbezpieczeństwa i Ochrony Infrastruktury USA (CISA);
  • Podatności w oprogramowaniu używanym przez federalny rząd USA;
  • Podatności w kluczowym oprogramowaniu określonym zgodnie z rozporządzeniem prezydenta nr 14028. Do takiego oprogramowania należą systemy, które:

- Działają z podwyższonymi lub kontrolowanymi uprawnieniami;

- Mają uprzywilejowany dostęp do zasobów sieciowych lub obliczeniowych;

Google AdInline article slot

- Kontrolują dostęp do danych lub technologii operacyjnych;

- Funkcjonują poza zwykłymi granicami zaufania z rozszerzonymi prawami.

Wszystkie pozostałe CVE automatycznie otrzymują status „Nie zaplanowano". Nie oznacza to ich usunięcia z bazy — pozostają w NVD, ale bez dodatkowego analizy ze strony NIST.

Google AdInline article slot

Zmiany w procesach pracy NVD

Oprócz priorytetyzacji NIST wprowadził szereg technicznych i proceduralnych korekt:

  • Rezygnacja z dublowania ocen CVSS: jeśli Program Numeracji CVE (CVE Program) już udzielił oceny ważności, NIST nie będzie wystawiał własnej.
  • Ponowna analiza tylko przy istotnym wpływie: zmiany w już przetworzonym CVE nie powodują automatycznego ponownego przeglądu, chyba że mają znaczący efekt na dane obróbki.
  • Masowe przeniesienie starych wpisów: wszystkie niezarejestrowane CVE z datą publikacji przed 1 marca 2026 roku zostały przeniesione do statusu „Nie zaplanowano", z wyjątkiem tych już w KEV.
  • Aktualizacja interfejsu i etykiet: panel monitoringu NVD teraz odzwierciedla rzeczywisty status obróbki każdej podatności w czasie rzeczywistym.

Użytkownicy mogą wnioskować o obróbkę konkretnego CVE, wysyłając e-mail na [email protected]. NIST zastrzega sobie jednak prawo do odrzucenia wniosku, jeśli podatność nie spełnia kryteriów ryzyka.

Konsekwencje dla branży i praktyk bezpieczeństwa

Ten krok oznacza koniec ery scentralizowanego, państwowego podejścia do oceny wszystkich podatności. Jak zauważa Caitlin Condon (VulnCheck): „nie żyjemy już w świecie, w którym ręczne wzbogacanie nowych podatności jest wykonalną strategią".

Dla organizacji oznacza to konieczność przejścia na proaktywne zarządzanie ryzykiem:

  • Integrację zewnętrznych źródeł danych (w tym platform komercyjnych i otwartych feedów);
  • Automatyzację priorytetyzacji na podstawie kontekstu: aktywnych exploitów, obecności w KEV, użycia we własnej infrastrukturze;
  • Rezygnację ze ślepego polegania na punktach CVSS na rzecz analizy rzeczywistej eksploatywności i wpływu biznesowego.

David Lindner (Contrast Security) podkreśla: „Opieranie się na starannie wyselekcjonowanym zestawie użytecznych danych jest znacznie skuteczniejsze dla zapewnienia narodowej odporności niż utrzymywanie wszechstronnego, ale niekontrolowanego archiwum każdej drobnej usterki".

Co ważne

  • NIST nie przetwarza już wszystkich CVE — tylko te spełniające kryteria wysokiego ryzyka.
  • Podatności poza kategoriami priorytetowymi pozostają w NVD, ale bez ocen CVSS i dodatkowej analizy od NIST.
  • Organizacje muszą przebudować procesy zarządzania podatnościami, kładąc nacisk na kontekst i realne zagrożenia.
  • Wnioski o obróbkę niepriorytetowych CVE są możliwe, ale nie gwarantują działania ze strony NIST.
  • Trend wskazuje na decentralizację i specjalizację w ekosystemie cyberbezpieczeństwa.

— Editorial Team

Advertisement 728x90

Czytaj dalej