Sicherheitslückendatenbank NVD: NIST sucht den Ausweg aus Analyserückstand
Das US-amerikanische NIST unterhält die Schwachstellendatenbank NVD. Die hat einen großen Rückstau an Analysen. Jetzt sucht das NIST nach Auswegen.
(Bild: Tommy Lee Walker / Shutterstock.com)
Die National Vulnerability Database (NVD) beim US-amerikanischen National Institute of Standards and Technology (NIST) leidet seit Februar dieses Jahres an mangelhafter Pflege. Eigentlich sollen die Einträge von der Behörde mit wichtigen Metadaten und maschinenlesbaren Informationen angereichert werden. Inzwischen ist ein größerer Rückstau entstanden. Das NIST hat nun die Ankündigung aktualisiert und erläutert mögliche Auswege aus der Misere.
(Bild: Screenshot / dmk)
Gänzlich nutzlos sind die neueren CVE-Einträge nicht, zumeist liefern die eintragenden Instanzen Informationen wie Schweregrad nach CVSS gleich mit. Dennoch ist es für Anbieter etwa von Firewalls und anderen IT-Sicherheitsprodukten ärgerlich, die auf diese angereicherten Daten zurückgreifen, um auf neue Bedrohungen zu reagieren.
NIST kündigt Problemlösung an
Das NIST sieht die Rolle der NVD als "Schlüsselstück der nationalen Cybersecurity-Infrastruktur", wie es in einer aktualisierten Ankündigung schreibt. "Da gibt es einen weiter anwachsenden Rückstau an übermittelten Schwachstellen an die NVD, die der Analyse bedürfen. Das liegt an mehreren Faktoren, einschließlich eines Anstiegs an Software und daraus folgend der Sicherheitslücken sowie eine Änderung in der zwischenbehördlichen Unterstützung", erklärt das NIST.
"Derzeit priorisieren wir die Analyse der signifikantesten Schwachstellen. Zudem arbeiten wir mit unseren Partnerbehörden daran, mehr Unterstützung für die Schwachstellenanalyse zu liefern und haben zusätzliche NIST-Mitarbeiter für diese Aufgabe abgestellt", führt die Behörde weiter aus, "wir prüfen zudem auch langfristige Lösungen für diese Herausforderung, einschließlich des Aufbaus eines Konsortiums aus Industrie, Regierung und weiterer Interessenvertretungen, die an Ideen zur Verbesserung der NVD zusammenarbeiten können."
Das NIST betont, dass es weiter an der Unterstützung der NVD festhalte. Es wolle zudem weitere Informationen veröffentlichen, sofern die Pläne sich weiterentwickeln.
(dmk)