Sonatype, recunoscută pentru evaluarea securității componentelor open source, afirmă că sistemul CVE și baza NVD nu mai fac față ritmului actual al dezvoltării software, iar studiul lor asupra a 1.552 de vulnerabilități open source dezvăluite în 2025 scoate problema în evidență. Formatul CVE, creat de MITRE la sfârșitul anilor 1990 pentru a uniformiza identificarea vulnerabilităților, a fost eficient când ecosistemul era mai lent și monolitic; astăzi însă, software-ul modular și integrarea AI impun o adaptare mult mai rapidă a mecanismelor care oferă informații despre vulnerabilități.
Raportul prezintă cifre îngrijorătoare, dar limpezi: aproape două treimi dintre vulnerabilitățile analizate, 64%, nu aveau scoruri de severitate atribuite de NVD, ceea ce înseamnă că echipele de securitate pot face trierea eficientă în doar circa o treime din cazuri. Sonatype observă că, în analiza lor internă, aproape jumătate din vulnerabilitățile fără scor ar fi încadrate în categoriile Critic sau Ridicat, adică probleme care pot necesita intervenții urgente. În plus, întârzierile sunt semnificative: media dintre divulgare și atribuirea unui scor de către NVD a depășit șase săptămâni în 2025, iar unele notificări au rămas neclasificate până la 50 de săptămâni, interval suficient pentru ca un atac să se producă înainte ca datele „oficiale” să fie folositoare.
Și acuratețea scorurilor lasă de dorit. Dintre CVE-urile care au primit scoruri, mai puțin de unul din cinci a fost evaluat corect; 62% din scorurile NVD au supraestimat severitatea, iar 34% au subestimat-o. Mai mult, analiza a depistat 19.945 de rezultate fals pozitive și 156.474 de fals negative în înregistrările CVE, ceea ce consumă resurse ale dezvoltatorilor și riscă să diminueze vizibilitatea amenințărilor reale. Această combinație de întârzieri, inexactități și volum transformă pipeline-ul CVE/NVD dintr-un instrument de încredere într-un posibil blocaj operațional.
Ca răspuns la aceste limitări, Sonatype a lansat Nexus One, o platformă DevSecOps nativă pentru AI care integrează inteligență despre open source, guvernanță, protecție antimalware și automatizare a gestionării dependențelor într-o singură infrastructură. Bazată pe peste 15 ani de date curate despre OSS și pe învățare automată avansată, platforma promite informații de zece ori mai rapide decât NVD și accelerarea remedierii riscurilor cu aproximativ 30% în medie. Concluzia liderilor Sonatype este că limbajul comun creat de CVE rămâne valoros, dar nu poate fi unica sursă; securitatea contemporană necesită o inteligență dinamică, conștientă de versiuni și ecosisteme și capabilă să funcționeze la viteza mașinilor.
64% dintre vulnerabilitățile analizate nu aveau scoruri de severitate atribuite de NVD. Această proporție evidențiază tensiunea structurală dintre instrumentele tradiționale, precum CVE și NVD, și ritmul rapid al dezvoltării bazate pe componente și AI; istoria inițiativei CVE arată nevoia unui limbaj comun, dar progresele tehnologice cer completări care să ofere context de versiune, integrare și exploatare în timp real. Datele privind întârzierile, ratele ridicate de fals pozitiv și fals negativ și evaluările eronate sugerează că organizațiile trebuie să combine sursele oficiale cu soluții care oferă vizibilitate continuă și automatizată. Crezi că actualele sisteme de evaluare a vulnerabilităților pot fi adaptate suficient sau este nevoie de modele complet noi, alimentate de AI și date mult mai dinamice?
Fii primul care comentează