Обогащение NVD сужается: что стоит перепроверить container-командам

NVD не прекращает публикацию CVE, но сокращает enrichment. Что это меняет для container security, сканеров и приоритизации remediation.

2026-05-14 GIGATAP Team #security
#NVD#container security#vulnerability management

NIST сужает enrichment, а не прекращает публикацию CVE#

NIST изменил рабочие предпосылки, на которых строится National Vulnerability Database. 15 апреля NIST объявил о приоритизированной модели enrichment для NVD. CVE по-прежнему будут публиковаться в большинстве случаев. Меняются вторичные данные, от которых зависят многие security-программы: CVSS scores, CPE mappings и CWE classifications.

Это различие важно. Запись CVE может существовать, но не быть в той же степени полезной операционно. Для многих scanners, compliance workflows и remediation dashboards ценность заключается не только в идентификаторе CVE, но и в enrichment вокруг него. Score определяет severity. CPE mapping помогает понять, затронут ли конкретный product или package. Weakness classification поддерживает reporting и analysis.

В материале Docker говорится, что объявление от 15 апреля формализует сдвиг, который пользователи NVD feeds уже наблюдали последние два года. Более важное изменение — в ожиданиях. NIST больше не сигнализирует о возврате к full-coverage enrichment.

В новой модели три категории CVE продолжат получать полный enrichment:

  • CVE, включенные в каталог CISA Known Exploited Vulnerabilities, с целевым сроком обработки в один рабочий день.
  • CVE, затрагивающие software, используемый в U.S. Federal government.
  • CVE, затрагивающие “critical software” согласно Executive Order 14028.

Остальные CVE переходят в статус “Not Scheduled”. Organizations могут запросить enrichment по email в NVD, но Docker отмечает, что для этого не действует service-level timeline. NIST также прекратил дублировать CVSS scores, если submitting CNA уже предоставляет такой score. Unenriched CVE, опубликованные до 1 марта 2026 года, были переведены в “Not Scheduled”.

Для container security teams вопрос не в том, остается ли NVD полезной. Да, остается. Вопрос в том, продолжают ли internal programs считать NVD enrichment гарантированным слоем под scanning, prioritization и audit evidence.

Почему backlog pressure носит структурный характер#

NIST сослался на рост числа CVE submissions на 263% в период с 2020 по 2025 год. Также было сказано, что в Q1 2026 объем был примерно на треть выше, чем за аналогичный период годом ранее. Этот рост соответствует более широкому расширению CVE ecosystem: больше CNA, больше open source projects с формальными disclosure processes и больше tooling, который выявляет issues, которые в прошлые годы могли не получить CVE.

Pipeline также испытывает давление с двух разных сторон.

Первая — noise. Docker указывает на январское решение основателя curl Дэниела Стенберга закрыть bug bounty проекта на HackerOne после шести с половиной лет работы, сославшись на “death by thousand slops”: AI-generated vulnerability reports, которые выглядели правдоподобно, но описывали issues, которых не существовало. Другие проекты, включая Node.js и Django, ужесточили intake под похожим давлением.

Вторая — реальный signal. Docker цитирует апрельское объявление Anthropic о Claude Mythos Preview, который описывается как система, автономно обнаружившая тысячи zero-day vulnerabilities в крупных operating systems и web browsers, включая 17-летний unauthenticated RCE в FreeBSD NFS server. Docker также ссылается на более раннее исследование Anthropic, в котором Claude Opus 4.6, как сообщалось, нашел и подтвердил более 500 high-severity vulnerabilities в production open source.

Суть не в том, что каждый AI-generated finding полезен. Суть в том, что и слабые reports, и legitimate discoveries увеличивают нагрузку на одну и ту же public vulnerability infrastructure. По сообщениям, NIST enriched около 42 000 CVE в 2025 году — это был максимальный годовой показатель, — и все равно еще сильнее отстал от входящего потока.

Поэтому сдвиг от 15 апреля выглядит менее удивительным. И организациям становится сложнее рассматривать missing enrichment как временный data-quality defect.

Где container scanners почувствуют изменение#

Два поля NVD enrichment особенно важны для container scanning.

Первое — CPE applicability. CPE statements помогают сопоставить CVE с конкретными software products или packages. Если таких mappings нет, scanners, которые в основном зависят от CPE matching, могут не суметь определить, затронут ли package внутри image. CVE может существовать, но для такого scanning workflow фактически стать невидимой.

Второе — CVSS scoring. Scores определяют severity labels, triage queues и remediation SLAs. Если у CVE нет NVD score, она может отображаться как UNKNOWN severity, наследовать vendor score или выпадать из установленной remediation logic — в зависимости от tool и policy.

Containers усиливают эту проблему. Один image может включать operating system base layer, system packages, application dependencies, packages из language ecosystem и длинные цепочки transitive dependencies. Если unenriched CVE затрагивает package в base image, пробел может распространиться на каждый downstream image, который его наследует.

Практическая exposure зависит от дизайна scanner. Tools that re