Тема всплыла из ветки r/cybersecurity на Reddit. Пост «NIST is surrendering to the amount of CVEs coming in» собрал более четырёх тысяч голосов за сутки, а комментарии разлетелись по всем уголкам сообщества.

Что случилось с NIST

На прошлой неделе Национальный институт стандартов и технологий объявил, что больше не будет подробно обогащать почти все уязвимости. В 2025 году он обработал рекордные 42 000 CVE — на 45 % больше, чем в любой предыдущий год. Сейчас в бэклоге более 30 000 записей без оценки CVSS.

Новый процесс ограничивает работу только «важными» уязвимостями: теми, что уже эксплуатируются, или теми, что затрагивают правительственные системы. Оставшиеся 90 % остаются без подробного анализа.

Голоса из комментариев

«Есть куча «мусора». Кто‑то пытается заработать «CVE‑кредит», находя уязвимости в учебных проектах на GitHub», — h4ck3r_n4m3
«Сфокусируйтесь на действительно важных уязвимостях, а не на тех, которые никогда не будут использованы», — dflame45
«Это просто очередные сокращения бюджета, а не победа ИИ», — BrainWaveCC

Почему это важно

Многие компании и правительственные органы полагаются на NVD как на единственный источник достоверных оценок. Если 90 % записей останутся «сырой» информацией, автоматические сканеры начнут выдавать ложные тревоги, а специалисты будут тратить часы на ручную проверку.

Для Европы это особенно болезненно: согласно Cyber Resilience Act, продукт может быть запрещён из‑за одной уязвимости. Без своевременного CVSS‑рейтинга такие решения могут стать юридическим камнем преткновения.

Анализ рынка

В России

  • Касперский Центр Уязвимостей — база уязвимостей с оценкой риска, но охватывает лишь продукты, поддерживаемые Касперским.
  • CVE‑Search.ru — открытый агрегатор, предоставляет поиск по CVE, однако не предлагает автоматическое обогащение данными NIST.
  • VulnCheck (мобильное приложение) — уведомления о новых уязвимостях, но без интеграции с CVSS‑оценками.

За рубежом

  • CVE Details — подробный справочник, включает в себя CVSS, но платный доступ к API.
  • VulnDB (RiskIQ) — коммерческий сервис, автоматическое обогащение, ориентирован на крупные организации.
  • Shodan — сканер интернета, показывает экспозицию уязвимостей, но не заменяет NVD.

Незакрытая ниша: в России нет SaaS‑сервиса, который бы автоматически обогащал CVE‑записи по методологии NIST и предоставлял API для небольших компаний и фриланс‑аналитиков.

💡 Идеи для предпринимательства

Сайты

  • «CVE‑Enricher» — онлайн‑сервис, который по API NIST получает сырые CVE и добавляет к ним CVSS‑оценку, вектор атаки и рекомендации. Платный доступ к API для небольших ИТ‑команд.
  • «Уязвимость в цифрах» — интерактивный каталог, где пользователь может сравнить уязвимости по тяжести, дате публикации и наличию эксплойтов. Монетизация через подписку на расширенные отчёты.

Мобильные приложения

  • «CVE‑Alert Bot» для Telegram — бот, который в реальном времени присылает уведомления о новых «важных» CVE, фильтрует по выбранным продуктам и показывает упрощённый CVSS‑балл.
  • «Secure Scan Lite» — приложение, сканирующее установленные на смартфоне приложения и сравнивающее их версии с базой CVE‑Enricher, выдаёт рекомендацию обновить.

Бизнес‑идеи

  • Консультация по приоритизации уязвимостей — услуга для небольших фирм, где специалист по кибербезопасности использует CVE‑Enricher и помогает расставить приоритеты исправлений.
  • Аутсорсинг ручного обогащения — небольшая команда аналитиков, которые проверяют «сырой» CVE из NVD и добавляют недостающие данные за плату.

Читайте также