https://blog.0x2e6b6169.de/tags/nvd/Recent content in NVD on .kais blogHugode-deFri, 05 Jun 2026 07:35:00 +0200https://blog.0x2e6b6169.de/posts/2026-06-05-datenmonokultur/Fri, 05 Jun 2026 07:35:00 +0200https://blog.0x2e6b6169.de/posts/2026-06-05-datenmonokultur/<h2 id="-was-beobachte-ich">🔍 Was beobachte ich?</h2> <p>Viele Schwachstellen-Prozesse hängen an einer einzigen Quelle: der National Vulnerability Database. Werkzeuge gleichen Software gegen NVD-Daten ab, das Ergebnis landet ungeprüft im Report. Fehlt dort ein Eintrag, gilt die Komponente als unauffällig.</p> <h2 id="-was-soll-eigentlich-erreicht-werden">🎯 Was soll eigentlich erreicht werden?</h2> <p>Das Ziel ist legitim: maschinenlesbare, angereicherte Schwachstellendaten – CPE, CWE, CVSS – als Fundament für automatisiertes Scanning und SBOM-Abgleich. Über Jahre war die NVD dafür der De-facto-Standard.</p> <h2 id="-warum-funktioniert-das-nicht">⚠️ Warum funktioniert das nicht?</h2> <p>Seit April 2026 reichert das NIST nur noch CISA-KEV-Einträge und priorisierte Software vollständig an – der Rest bleibt „Not Scheduled&quot;. Wo Werkzeuge direkt gegen NVD-Applicability-Statements prüfen, fehlt der Treffer dann nicht schwächer, sondern ganz: ein falsch-negatives Ergebnis, das wie Entwarnung aussieht. Zugleich reicht das NIST künftig die CVSS-Scores der Hersteller durch, statt unabhängig zweitzubewerten – und Hersteller bewerten eigene Lücken erfahrungsgemäß konservativer. Auch die europäische EUVD ist kein Ausweg: Sie erbt ihre Defizite aus CVE-Programm und NVD.</p>