NCSC geautoriseerd als CVE Numbering Authority
Het NCSC is vandaag door het CVE Program geautoriseerd als CVE Numbering Authority (CNA). Met deze autorisatie kunnen we als CNA zelfstandig CVE-ID's toekennen aan kwetsbaarheden, zonder dat een andere CNA geïnformeerd hoeft te worden over de details ervan. Hiermee kunnen we de vertrouwelijkheid van gevonden kwetsbaarheden beter waarborgen en kwetsbaarheden beter eenvoudiger en efficiënter beheren.
Een CVE-ID is een uniek nummer dat door softwareleveranciers wordt toegekend aan in hun software gevonden kwetsbaarheden. Deze nummers maken het voor hen eenvoudiger om te verwijzen naar de gevonden kwetsbaarheid en miscommunicatie voorkomen.
Veel organisaties in de bredere cybersecurity-gemeenschap en softwareleveranciers maken al gebruik van CVE-ID’s. Softwareleveranciers kunnen vaak zelf CVE-nummers toekennen aan hun eigen software. Leveranciers dat niet kunnen, kunnen nu worden bijgestaan door het NCSC.
Voor kwetsbaarheden die meerder systemen of leveranciers treffen en waarbij het NCSC de coördinatie doet, kan het NCSC besluiten een CVE-nummer toe te kennen. De kwetsbaarheid moet daarvoor voldoen aan de eisen van het CVE Program en passen binnen de CNA-rol (CVE Numbering Authority) van het NCSC. Voor CVDs waarvan de Rijksoverheid ontvanger is geeft het NCSC geen CVE-IDs uit.
De missie van het Common Vulnerabilities and Exposures (CVE®) Program is het identificeren, definiëren en het catalogiseren van openbaar gemaakte kwetsbaarheden. Een zwakke plek gevonden in een systeem van de overheid of in een systeem met een vitale functie? Meld het bij het NCSC.