NIST كتحصر الـ CVEnrichment من بعد ما تزادو تبليغات الثغرات (CVEs) بـ 263%
NIST Limits CVE Enrichment After 263% Surge in Vulnerability Submissions
NIST كتحصر الـ CVEnrichment من بعد ما تزادو تبليغات الثغرات (CVEs) بـ 263%
خلاصة (TL;DR)
بسبب الارتفاع الكبير لي وصل لـ 263% فعدد تبليغات الثغرات فـ 5 سنين اللخرة، NIST علنات باللي مابقاتش غادي تدير "Enrichment" (إغناء البيانات) بشكل تلقائي لكل CVE. هاد القرار غايتحط حيز التنفيذ فـ 15 أبريل 2026، وNIST غاتعطي الأولوية غير للثغرات لي كاينة فليستة الكوارث المعروفة (KEV) ديال CISA، والبرمجيات الحكومية الحساسة، والبرامج لي عندها صلاحيات عالية. أي تبليغات خرى غاتعلم بـ "Not Scheduled" (غير مبرمجة).
المعهد الوطني للمعايير والتكنولوجيا (NIST) بدّل رسمياً الاستراتيجية ديالو بخصوص قاعدة البيانات الوطنية للثغرات (NVD). وبسباب واحد "الانفجار" غير مسبوق فعدد ثغرات الأمن السيبراني (CVEs)، هاد الوكالة دابا غاتحصر عملية الـ enrichment — لي هي تزيد معلومات بحال سكور CVSS ونوع الثغرة — غير على فئات معينة عندها أولوية قصوى.
هاد التغيير، لي بدا فـ 15 أبريل 2026، كيتعبر تحول كبير فالدور التاريخي ديال NVD لي كانت معروفة بأنها المصدر الشامل والمغني بـ كاع البيانات ديال الثغرات.
زيادة بـ 263% فالثغرات
هاد القرار جابو واقع صعيب: الحجم ديال عيوب البرمجيات غلب القدرات البشرية واللوجستيكية. على حساب NIST، تبليغات الـ CVE تزادو بـ 263% ما بين 2020 و2025.
وهاد الوتيرة مزال غادة وكتزيد. غير فالثلث الأول ديال 2026، التبليغات كانت كثر بـ واحد الثلث مقارنة بالعام لي فات. وخا NIST قالت بللي دارت Enrichment لـ 42,000 CVE تقريباً فـ 2025 (زيادة ديال 45% على أي عام قبل)، التراكم (backlog) مزال كيكبر. بيانات من شركة VulnCheck كاتبين بللي كاين حوالي 10,000 ثغرة من 2025 مزال ماعندهاش سكور CVSS.
معايير الأولوية الجديدة
على حساب القواعد الجديدة، الـ CVEs غاتاخد الأولوية فـ الـ enrichment غير إلا توفرات فيها هاد الشروط:
- ليستة CISA KEV: الثغرات لي كاينة فكتالوج الثغرات المستغلة المعروفة ديال وكالة CISA.
- البرمجيات الحكومية: أي برنامج كيتستعمل فالحكومة الفيدرالية ديال ميريكان.
- البرمجيات الحساسة (الأمر التنفيذي 14028): كيشمل البرامج لي مصممة باش تخدم بصلاحيات عالية، تسير موارد الشبكة، تتحكم فالدخول للبيانات، ولا تخدم برا حدود الثقة العادية.
أي تبليغ كيخرج على هاد المعايير غايتصنف كـ "Not Scheduled". وضحت NIST بللي وخا هاد الـ CVEs المستبعدة تقدر تأثر على أنظمة معينة، ولكنها موحدهاش كتشكل "خطر نظامي" (systemic risk) على البنية التحتية الوطنية.
تغييرات فالتسيير وإدارة التراكم
من غير الأولوية ديال الـ CVEs الجداد، NIST دارت تحديثات أخرى:
- إعادة تصنيف التراكم: كاع الـ CVEs لي ملقحينش (unenriched) وتنشرو قبل 1 مارس 2026 (إلا لي فليستة CISA KEV) تحولو لتصنيف "Not Scheduled".
- حبس تكرار التقارير: NIST مابقاتش غاتعطي سكور الخطورة بشكل روتيني إلا كانت الـ CNA (الجهة لي عطات الرقم للثغرة) ديجا عطاتو.
- طلبات الـ Enrichment: المستخدمين باقين يقدروا يطلبوا الإغناء ولا إعادة التحليل لثغرات معينة عندها تأثير كبير عبر الإيميل: nvd@nist[.]gov.
- واجهة الـ Dashboard: تابتديت الـ Dashboard ديال NVD باش تبين هاد التغييرات فالحالة ديال الثغرات فـ الوقت الحقيقي.
رد فعل المجال: نهاية حقبة؟
خبراء الأمن كيشوفو هاد الخطوة ضرورية، وخا غاتخربق الأمور شوية. Caitlin Condon، نائبة رئيس أبحاث الأمن فـ VulnCheck، قالت بللي هاد الإعلان ماكانش مفاجئ بزاف حيت NIST لمحات قبل لأنها غاتمشي لموديل مبني على المخاطر. ولكن حذرات بللي بزاف ديال الشركات لي كيعتمدو غير على NVD غايلقاو راسم دابا قدام "طريق مسدود" لعدد كبير ديال الثغرات لي مابقاتش غايكون عندها enrichment.
قالت كوندي: "مابقاش ممكن نعيشو فعالم فيه الـ enrichment اليدوي للثغرات حل واقعي ولا فعال"، ودعات لاعتماد طرق كتخدم بـ "سرعة الماكينة" فإدارة الثغرات.
أما David Lindner، الـ CISO ديال Contrast Security، فاعتبر هادشي نهاية ديال واحد الحقبة لي كانو فيها المدافعين كيعولو على قاعدة بيانات حكومية وحدة وشاملة. وقال بللي هاد التغيير غادي يفرض على الشركات تنضج وتولي تعطي الأولوية لـ "التعرض الحقيقي للخطر عوض الخطورة النظرية".
خلاصة
التحول ديال NIST لموديل مبني على الأولوية كيبين الفجوة لي كتعرض ما بين سرعة اكتشاف الثغرات والقدرة على تحليلها يدوياً. بالنسبة للمحترفين فـ الأمن السيبراني، هاد التحديث هو نداء باش يتجاوزو غير التركيز على عدد الـ CVEs، ويولي التركيز على معلومات التهديدات لي فيها فعل حقيقي (actionable threat intelligence).
المصدر: https://thehackernews.com/2026/04/nist-limits-cve-enrichment-after-263.html