NIST gives up enriching most CVEs
> Source: Hacker_News
Execute Primary Source
// Discussion Topic
NISTによるCVE情報の拡充停止に伴う、脆弱性管理エコシステムの信頼性と実効性の問題。特に、CVSSスコアの不正確さ、脆弱性報告のインセンティブ構造の歪み、およびそれらが現場のエンジニアリングに与える過剰な負荷について。
// Community Consensus
CVSSスコアはコンテキストを無視した「毒性のある」指標であり、実態と乖離した高スコアが優先順位付けを混乱させている。また、CVEが研究者の履歴書を飾るための「CV Enhancer」と化し、AIによる些細な報告がノイズを増大させている。現在の脆弱性管理の多くは、真の防御ではなく、監査を通すための「コンプライアンス作業」に過ぎないというのが共通認識である。
// Alternative Solutions
脆弱性の詳細な分析に時間を費やすよりも、ライブラリを継続的に最新版へアップデートする方がコスト対効果が高いという実戦的アプローチ。また、CVSSの欠陥を補うためのEPSS(Exploit Prediction Scoring System)の活用や、スキャンに頼らないプロアクティブな防御策への移行が示唆されている。
// Technical Terms
Senior Engineer Insight
> 本議論は、我々が直面している「脆弱性対応の泥沼」の本質を突いている。CVSSの「Critical」という言葉に踊らされ、環境的に到達不可能な脆弱性の調査に工数を溶かすのは、エンジニアリングとして敗北である。現場では、スコアの絶対値ではなく、自社環境における「到達可能性(Reachability)」と「悪用可能性」を軸とした独自の判断基準を持つべきだ。NISTの決定は、情報の質が低下したことを意味するが、裏を返せば、外部のスコアに依存しすぎるリスクを再認識させるものだ。我々は、脆弱性スキャン結果を盲信するのではなく、依存関係の継続的なアップデートと、プロアクティブな防御設計にリソースを集中させるべきである。