CISA anuncia un nuevo proyecto para enriquecer los CVE
La agencia americana de ciberseguridad ha creado un repositorio en el que se trabaja para añadir información adicional a las vulnerabilidades de la base de datos NVD
El nombre que se le ha dado al proyecto es “Vulnrichment”, su objetivo es enriquecer los registros de vulnerabilidades a través del contenedor ADP (Authorized Data Publisher).
En un primer paso se están valorando los CVE nuevos y más recientes con la escala SSVC, que clasifica las vulnerabilidades de acuerdo a su impacto en las partes interesadas y la probabilidad de explotación.
Aquellos problemas de seguridad que sean catalogados como «Impacto Técnico Total», «Automatizable» o tengan un valor de explotación de «Prueba de concepto» o «Explotación Activa» serán analizados más en profundidad.
Más adelante se trabajará con los CVE sin información al respecto del CWE asociado, puntuación de criticidad CVSS o cadena CPE que determine el fabricante, producto y versión afectada, si existe información suficiente para completar dichos campos se añadirá en esta nueva base de datos.
En ningún caso se sobrescribirá la información ya aportada por las autoridades de numeración de CVE (CNA) con respecto a los valores mencionados.
Este esfuerzo se encuadra dentro de los objetivos de CISA para proporcionar a las organizaciones herramientas optimizadas para que puedan mejorar y planificar sus defensas dando prioridad a aquellas amenazas que son más plausibles y críticas dependiendo del sector específico.
La agencia norteamericana espera que este nuevo proyecto evolucione con rapidez en las próximas semanas y abre a la comunidad la posibilidad de participar del mismo mediante Issues o Pull Requests en el propio repositorio de Github dónde se aloja.
Fuentes y más información:
