Az NIST ezentúl csak a legveszélyesebb hibákat pontozza

A Nemzeti Szabványügyi és Technológiai Intézet úgy döntött, felhagy az alacsonyabb prioritású sérülékenységek súlyossági pontszámainak megállapításával. Az ok egyszerű: az elmúlt időszakban elképesztő mértékben, 263%-kal nőtt a bejelentett biztonsági hibák száma, 2025-ben már 42 ezer bejegyzést dolgozott fel, és az ütem tovább gyorsult. Így lehetetlenné vált minden egyes hiba részletes elemzése.

Csak a kritikus sebezhetőségek kapnak teljes értékelést

A szervezet április 15-től kizárólag azokat a sérülékenységeket vizsgálja részletesen, amelyek nagy kockázatot jelentenek – például szerepelnek az amerikai kibervédelmi ügynökség (CISA) által ismert támadási listáján, szövetségi kormányzati szoftvert érintenek, vagy létfontosságú IT-rendszerekhez kapcsolódnak. Az ennél alacsonyabb prioritású hibákat ugyan feltünteti a nyilvános Nemzeti Sérülékenységi Adatbázisban (NVD), ám csak a bejelentő szervezet (CNA) által megadott adatokkal.

Mi változik a gyakorlatban?

A kulcs a részletekben rejlik: eddig az NVD minden hibához hozzátette a kockázatértékelést, a gyenge pont leírását, az érintett programverziókat és a javítási lehetőségeket – alapvető információk a kutatók és IT-biztonsági szakemberek számára. Mostantól csak a leginkább veszélyes sérülékenységekhez érhetők el ezek az adatok. Az érintett szakemberek azonban továbbra is kérhetik az NIST-től, hogy egy-egy – első körben elhanyagolt – sebezhetőséget részletesen értékeljen, ha azt különösen fontosnak tartják.

Még mindig minden bekerül az adatbázisba

Minden bejelentett sérülékenység felkerül az NVD-be, de ami nem felel meg az új kiemelt kritériumoknak, azt egyszerűen „Nem ütemezték” kategóriába sorolják. Ezáltal az NIST a legnagyobb kockázatot jelentő hibákra tud összpontosítani, bár ezzel együtt előfordulhat, hogy néhány fontos biztonsági rés is átcsúszik a szűrőn.

2026, adrienne, www.bleepingcomputer.com alapján