NIST Berhenti Perkaya Data CVE, Apa Dampaknya buat Keamanan Siber?

NIST, badan standar teknologi Amerika, baru-baru ini mengumumkan perubahan besar. Mereka bakal berhenti memperkaya sebagian besar data CVE.

CVE itu singkatan dari Common Vulnerabilities and Exposures. Intinya, ini adalah daftar kerentanan keamanan yang jadi acuan industri teknologi selama bertahun-tahun.

Sebelumnya, NIST menambahkan informasi berguna ke setiap CVE. Misalnya severity score, referensi teknis, dan CWE classification. Sekarang, mereka fokus hanya ke CVE yang benar-benar kritis.

Alasannya? Budget dan prioritas. NIST bilang resource mereka terbatas, jadi harus dipilih-milih.

Buat kamu yang kerja di security, ini berarti perubahan workflow. Kamu nggak bisa lagi andalin NVD (National Vulnerability Database) sebagai satu-satunya sumber kebenaran.

Data CVE bakal tetap ada, tapi dalam bentuk yang lebih 'mentah'. Informasi enrichment yang biasanya memudahkan analisis bakal berkurang signifikan.

Vendor security dan tim internal harus lebih aktif menganalisis kerentanan sendiri. Nggak ada lagi shortcut lewat data yang sudah dikurator dengan baik.

Beberapa alternatif mulai muncul. Ada inisiatif community-driven dan commercial databases yang coba mengisi gap ini. Tapi konsistensinya masih variatif.

Praktikal takeaway-nya sederhana. Pertama, review dependency kamu secara berkala. Jangan cuma nunggu alert dari NVD.

Kedua, pertimbangkan pakai multiple vulnerability sources. Gabungin data dari vendor langsung, security advisories, dan platform seperti GitHub Security Advisories.

Ketiga, investasi ke automated scanning tools yang punya capability analisis sendiri. Tools modern kayak Snyk atau Trivy udah nggak fully rely ke NVD kok.

Perubahan ini sebenarnya ngingetin kita satu hal. Keamanan itu tanggung jawab bersama, bukan cuma tugas satu badan pemerintah.

Jadi, mulai sekarang, jadi lebih proaktif ya. Jangan cuma consume data, tapi build capability analisis sendiri.