Nachricht
17:32 Uhr, 01.07.2026

VulNow wird CVE-Nummerierungsstelle unter der ENISA-Root-Instanz

Plattform für prädiktive Schwachstellen- und Bedrohungsinformationen erhält CNA-Status unter der ENISA-Root-Instanz

AMSTERDAM, July 01, 2026 (GLOBE NEWSWIRE) -- VulNow B.V., eine Plattform für prädiktive Risikoanalysen in der Software-Lieferkette, gab heute ihre offizielle Ernennung zur CVE™ (Common Vulnerabilities and Exposures) Numbering Authority (CNA) unter der CVE-Root-Instanz der Europäischen Agentur für Cybersicherheit (ENISA) bekannt. Mit der Ernennung wird VulNows Verfahren zur koordinierten Offenlegung von Sicherheitslücken offiziell anerkannt. Gleichzeitig ist das Unternehmen nun berechtigt, CVE-Kennungen (CVE-IDs) direkt für Schwachstellen zu vergeben, die über seine prädiktive Analyseplattform identifiziert werden – sowohl in eigenen Produkten als auch in Open-Source-Projekten Dritter, sofern diese noch nicht in den Zuständigkeitsbereich einer anderen CNA fallen.

Vom reaktiven zum prädiktiven Schwachstellenmanagement

Herkömmliche Programme zum Schwachstellenmanagement stoßen bei der frühzeitigen Erkennung neuer Bedrohungen an ihre Grenzen. VulNow liefert PreCVE-Intelligence zu potenziellen Sicherheitslücken, die herkömmliche Schwachstellenscanner noch nicht erkennen können – noch bevor eine CVE-ID offiziell vergeben wird. Während des koordinierten Offenlegungsprozesses erhalten Unternehmen, die VulNows Intelligence in ihre Plattformen und Tools integriert haben, exklusiven Zugang zu diesen PreCVEs. Nach Abschluss dieses Prozesses veröffentlicht VulNow im Namen von Betreuern von Open-Source-Projekten, die selbst keine CNA sind, den offiziellen CVE-Eintrag und ermöglicht so die öffentliche Offenlegung und Behebung der Schwachstelle.

Dark Matter Vulnerabilities™ sichtbar machen

Durch die Partnerschaft mit dem CVE-Programm kann VulNow eine bislang kaum erfasste Risikokategorie systematisch öffentlich dokumentieren. Die VulNow-Plattform konzentriert sich auf sogenannte Dark Matter Vulnerabilities™ – Sicherheitslücken, die in Code-Repositories von Betreuern stillschweigend oder unbeabsichtigt behoben wurden, ohne dass dafür eine CVE-ID vergeben oder ein Sicherheitshinweis veröffentlicht wurde. Da herkömmliche Schwachstellenscanner für Unternehmen ausschließlich auf veröffentlichten CVE-Datenbanken basieren, bleiben diese nicht dokumentierten Codeänderungen für Sicherheitsteams unsichtbar. Angreifer hingegen können sie durch Reverse Engineering von Open-Source-Software weiterhin identifizieren und ausnutzen.

„Der Erhalt des CNA-Status unter der ENISA-Root-Instanz ist ein struktureller Meilenstein für unser Unternehmen, unsere Kunden und unsere Partner im Bereich Sicherheitslösungen“, so Cassie Crossley, CEO und Mitgründerin von VulNow. „Herkömmliche Schwachstellenscanner erkennen Dark Matter Vulnerabilities™ nicht, da sie sich ausschließlich auf CVE-Feeds nach der Veröffentlichung stützen. Durch die formale Etablierung unseres Offenlegungsprozesses als CNA können wir unseren umfangreichen Bestand an aktiven PreCVE-Informationen schnell in die öffentliche Dokumentation überführen. Dadurch verkürzen wir das Zeitfenster für Angreifer und unterstützen unsere Kunden und Partner dabei, frühzeitig Compliance-Anforderungen zu erfüllen – noch vor Ablauf der Fristen der EU-CRA zur Schwachstellenmeldung sowie der weitergehenden Compliance-Pflichten ab 2027.“

Validierte operative Telemetrie

Der VulNow-Bericht zur Bedrohungslage für das erste Quartal 2026 beschreibt die Leistungsfähigkeit dieser Pipeline im operativen Einsatz. Im ersten Quartal 2026 bestätigte VulNow eine Teilmenge von 58 PreCVE-Erkennungen, die erfolgreich bestehenden, veröffentlichten CVE-Einträgen zugeordnet werden konnten. Die Plattform erzielte dabei eine durchschnittliche Vorwarnzeit von 6,6 Tagen für eine überwachte Teilmenge zentraler Open-Source-Pakete, die gemeinsam rund 13,2 Milliarden monatliche Downloads abdecken.

Der Bericht hebt zudem ein maximales Vorhersagefenster von 154 Tagen und 15 Stunden für eine Schwachstelle (CVE-2026-39865) im Open-Source-Projekt „axios“ hervor und unterstreicht damit die Fähigkeit der Plattform, Risiken bereits Monate vor der Verfügbarkeit klassischer Signaturen zu identifizieren. Der CNA-Status ermöglicht es VulNow, diese frühen Signale in skalierbare, registrierte Sicherheitshinweise zu überführen. Bestätigte PreCVEs sind unter https://vul.now/precve abrufbar.

Betreuer von Open-Source-Projekten sowie Programme zur koordinierten Schwachstellenoffenlegung können die Meldeprozesse und Einreichungsrichtlinien in der VulNow-Richtlinie zur koordinierten Offenlegung einsehen.

Über das CVE-Programm

Die Aufgabe des CVE™-Programms besteht darin, öffentlich bekannt gewordene Cybersicherheitslücken zu identifizieren, zu definieren und zu katalogisieren. Für jede im Katalog erfasste Schwachstelle wird ein eigener CVE-Eintrag erstellt. Die Schwachstellen werden von Organisationen weltweit entdeckt, die mit dem CVE-Programm zusammenarbeiten, und anschließend zugeordnet sowie veröffentlicht. Diese Partner stellen die CVE-Einträge bereit, um einheitliche und konsistente Beschreibungen der Schwachstellen sicherzustellen. IT- und Cybersicherheitsexperten nutzen CVE-Einträge, um zu gewährleisten, dass sie sich auf die gleichen Schwachstellen beziehen. Auf diese Weise können sie ihre Maßnahmen zur Priorisierung und Behebung effizient koordinieren.

Über VulNow B.V.

VulNow B.V. mit Hauptsitz in den Niederlanden bietet prädikative Bedrohungsinformationen für das moderne Risikomanagement in der Software-Lieferkette. Durch den Einsatz fortschrittlicher Machine-Learning-Methoden zur Erkennung bislang nicht offengelegter Schwachstellen, stiller Patches und sogenannter „Dark Matter Vulnerabilities™“ noch vor der Veröffentlichung öffentlicher Sicherheitshinweise liefert VulNow Frühwarn-Telemetriedaten an Sicherheitsverantwortliche in Unternehmen sowie Betreiber kritischer Infrastrukturen.

Medienkontakt:

VulNow B.V.
info@vul.now
https://vul.now


Das könnte Dich auch interessieren