Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), yazılım güvenlik açıklarını analiz etme ve Ulusal Güvenlik Açığı Veritabanı (NVD) programını yönetme rolünü stratejik olarak yeniden değerlendiriyor. Siber güvenlik uzmanlarının hükümetin Ortak Güvenlik Açıkları ve Maruziyetler (CVE) ekosistemindeki rolünü sorgulaması ve NIST'in yıllardır artan güvenlik açığı akışına ayak uyduramaması bu kararda etkili oldu. Özellikle 2025 yılında CVE kataloğu için hükümet fonlarının neredeyse kesilmesi, bu kritik kaynağın geleceği hakkında endişeleri artırmıştı. NIST'in Bilgisayar Güvenliği Bölümü'nden Jon Boyens, güvenlik açıklarının veritabanına, enstitünün bunları analiz etme ve detaylı bilgi ekleme (zenginleştirme) hızından çok daha hızlı ulaştığını belirtti. Bu "emek yoğun" sürecin mevcut güvenlik açığı hacmiyle "ölçeklenebilir olmadığını" ve "kaybedilen bir savaş" verdiklerini kabul etti.
Bu sorunu çözmek için NIST, güvenlik açıklarını zenginleştirme konusunda yeni bir önceliklendirme sistemi uygulamaya koyacak. Bu sistem, bir güvenlik açığının Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) Bilinen İstismar Edilen Güvenlik Açıkları kataloğunda yer alıp almadığı, federal kurumlar tarafından kullanılan yazılımlarda bulunup bulunmadığı ve NIST tarafından kritik olarak tanımlanan yazılımlarda olup olmadığı gibi faktörlere dayanacak. Boyens, "Tüm CVE'ler eşit değildir" diyerek, bu önceliklendirme sürecini resmileştireceklerini vurguladı. Ayrıca, zenginleştirilmemiş güvenlik açıkları için "birikmiş iş" (backlog) terimini kullanmaktan vazgeçerek, her CVE'yi zenginleştirmenin misyonlarına hizmet etmediği yönündeki beklentileri değiştirmeyi hedefliyorlar.
NIST, aynı zamanda güvenlik açığı analiz ekosistemindeki genel rolünü de yeniden gözden geçiriyor. Bu kapsamda, bir strateji ve uygulama planı yayınlayarak sürece rehberlik etmeyi ve yeni bir program yöneticisi atayarak bu değişimi yönetmeyi planlıyor. Bu inceleme, diğer kurumlar ve özel şirketler gibi ortaklarla da işbirliğini içerecek.
NIST'in güvenlik açığı analizindeki yaklaşımını değiştirmesi, siber güvenlik topluluğunun tehditleri anlama ve bunlara müdahale etme biçimini doğrudan etkileyecek önemli bir adımdır.