予算削減は、CVE分析が直面する問題の原因の1つです。Security Magazineが指摘しているように、NIST の資金は今年 12% 削減され、同機関が CVE を充実させることがさらに困難になっています。実際には、NVD は実質的に CVE データの下流の消費者です。発見され報告される CVE の数に変化はないですが、これらの脆弱性を評価して拡充する NIST の能力は大幅に低下しています。

報告された脆弱性の数が膨大であることも、分析作業にとって問題となっています。Flashpointの調査によると、NIST は 2023 年に 33,137 件の脆弱性を報告しました。数値の増加は、部分的には検出能力の向上に関係しています。企業がクラウドベースのテクノロジーと AI 対応ツールを活用してセキュリティ対策を拡大するにつれて、潜在的な脅威をより正確に特定できるようになります。その結果、数値が大きくなることは必ずしもリスクの増加を示すものではありませんが、潜在的な攻撃経路が増えていることを示してもいます。

NIST にはバックログを解消する計画があります。USASpending.govによると、政府はAnalygenceとサイバーセキュリティー分析および電子メール サポートの契約を 860,000 米ドルで締結しました。分析作業は6月3日に開始される予定で、NISTは2024年9月までに軌道に戻ることを期待しています。この契約は2024年12月に終了する予定ですが、2025年7月までサービスを延長するオプションもあります。