NIST ограничила обработку CVE после 263%-ного роста числа поступивших сообщений об уязвимостях

Национальный институт стандартов и технологий (NIST) объявил об изменениях в порядке обработки уязвимостей и угроз кибербезопасности, перечисленных в Национальной базе данных уязвимостей (NVD). Такое решение приняли в связи с резким увеличением количества сообщений о них. Рост превысил 263%.

«Уязвимости, не соответствующие этим критериям, по-прежнему будут включены в NVD, но не будут автоматически пополняться NIST. Это изменение обусловлено резким ростом числа сообщений о CVE, которое увеличилось на 263% в период с 2020 по 2025 год. Мы не ожидаем, что эта тенденция ослабнет в ближайшее время», — говорится в заявлении.

Критерии приоритезации, изложенные NIST и вступившие в силу 15 апреля, следующие:

уязвимости, содержащиеся в каталоге известных эксплуатируемых (KEV) Агентства по кибербезопасности и защите инфраструктуры США (CISA);

уязвимости для программного обеспечения, используемого в федеральном правительстве;

уязвимости CVE для критически важного программного обеспечения, как определено в указе президента № 14028: они включают программное обеспечение, предназначенное для работы с повышенными или управляемыми привилегиями, имеющее привилегированный доступ к сетевым или вычислительным ресурсам, контролирующее доступ к данным или операционным технологиям и работающее за пределами обычных границ доверия с повышенным доступом. 

Любая заявка на CVE, не соответствующая этим пороговым значениям, будет помечена как «Не запланировано». Как заявили в NIST, цель состоит в том, чтобы сосредоточиться на CVE, имеющих максимальный потенциал для широкомасштабного воздействия.

В NIST отметили, что количество заявок на CVE за первые три месяца 2026 года почти на треть выше, чем в прошлом году. Также сообщается, что в 2025 году было обработано