VulNow wird CVE-Nummerierungsstelle unter der ENISA-Root-Instanz
Plattform für prädiktive Schwachstellen- und Bedrohungsinformationen erhält
CNA-Status unter der ENISA-Root-Instanz
AMSTERDAM, July 01, 2026 (GLOBE NEWSWIRE) -- VulNow B.V. , eine Plattform für
prädiktive Risikoanalysen in der Software-Lieferkette, gab heute ihre
offizielle Ernennung zur CVE™ (Common Vulnerabilities and Exposures) Numbering
Authority (CNA) unter der CVE-Root-Instanz der Europäischen Agentur für
Cybersicherheit (ENISA) bekannt. Mit der Ernennung wird VulNows Verfahren zur
koordinierten Offenlegung von Sicherheitslücken offiziell anerkannt.
Gleichzeitig ist das Unternehmen nun berechtigt, CVE-Kennungen (CVE-IDs) direkt
für Schwachstellen zu vergeben, die über seine prädiktive Analyseplattform
identifiziert werden – sowohl in eigenen Produkten als auch in
Open-Source-Projekten Dritter, sofern diese noch nicht in den
Zuständigkeitsbereich einer anderen CNA fallen.
Vom reaktiven zum prädiktiven Schwachstellenmanagement
Herkömmliche Programme zum Schwachstellenmanagement stoßen bei der
frühzeitigen Erkennung neuer Bedrohungen an ihre Grenzen. VulNow liefert
PreCVE-Intelligence zu potenziellen Sicherheitslücken, die herkömmliche
Schwachstellenscanner noch nicht erkennen können – noch bevor eine CVE-ID
offiziell vergeben wird. Während des koordinierten Offenlegungsprozesses
erhalten Unternehmen, die VulNows Intelligence in ihre Plattformen und Tools
integriert haben, exklusiven Zugang zu diesen PreCVEs. Nach Abschluss dieses
Prozesses veröffentlicht VulNow im Namen von Betreuern von
Open-Source-Projekten, die selbst keine CNA sind, den offiziellen CVE-Eintrag
und ermöglicht so die öffentliche Offenlegung und Behebung der Schwachstelle.
Dark Matter Vulnerabilities™ sichtbar machen
Durch die Partnerschaft mit dem CVE-Programm kann VulNow eine bislang kaum
erfasste Risikokategorie systematisch öffentlich dokumentieren. Die
VulNow-Plattform konzentriert sich auf sogenannte Dark Matter Vulnerabilities™
– Sicherheitslücken, die in Code-Repositories von Betreuern stillschweigend
oder unbeabsichtigt behoben wurden, ohne dass dafür eine CVE-ID vergeben oder
ein Sicherheitshinweis veröffentlicht wurde. Da herkömmliche
Schwachstellenscanner für Unternehmen ausschließlich auf veröffentlichten
CVE-Datenbanken basieren, bleiben diese nicht dokumentierten Codeänderungen für
Sicherheitsteams unsichtbar. Angreifer hingegen können sie durch Reverse
Engineering von Open-Source-Software weiterhin identifizieren und ausnutzen.
„Der Erhalt des CNA-Status unter der ENISA-Root-Instanz ist ein struktureller
Meilenstein für unser Unternehmen, unsere Kunden und unsere Partner im Bereich
Sicherheitslösungen“, so Cassie Crossley, CEO und Mitgründerin von VulNow.
„Herkömmliche Schwachstellenscanner erkennen Dark Matter Vulnerabilities™
nicht, da sie sich ausschließlich auf CVE-Feeds nach der Veröffentlichung
stützen. Durch die formale Etablierung unseres Offenlegungsprozesses als CNA
können wir unseren umfangreichen Bestand an aktiven PreCVE-Informationen
schnell in die öffentliche Dokumentation überführen. Dadurch verkürzen wir das
Zeitfenster für Angreifer und unterstützen unsere Kunden und Partner dabei,
frühzeitig Compliance-Anforderungen zu erfüllen – noch vor Ablauf der Fristen
der EU-CRA zur Schwachstellenmeldung sowie der weitergehenden
Compliance-Pflichten ab 2027.“
Validierte operative Telemetrie
Der VulNow-Bericht zur Bedrohungslage für das erste Quartal 2026 beschreibt
die Leistungsfähigkeit dieser Pipeline im operativen Einsatz. Im ersten Quartal
2026 bestätigte VulNow eine Teilmenge von 58 PreCVE-Erkennungen, die
erfolgreich bestehenden, veröffentlichten CVE-Einträgen zugeordnet werden
konnten. Die Plattform erzielte dabei eine durchschnittliche Vorwarnzeit von
6,6 Tagen für eine überwachte Teilmenge zentraler Open-Source-Pakete, die
gemeinsam rund 13,2 Milliarden monatliche Downloads abdecken.
Der Bericht hebt zudem ein maximales Vorhersagefenster von 154 Tagen und 15
Stunden für eine Schwachstelle (CVE-2026-39865) im Open-Source-Projekt „axios“
hervor und unterstreicht damit die Fähigkeit der Plattform, Risiken bereits
Monate vor der Verfügbarkeit klassischer Signaturen zu identifizieren. Der
CNA-Status ermöglicht es VulNow, diese frühen Signale in skalierbare,
registrierte Sicherheitshinweise zu überführen. Bestätigte PreCVEs sind unter
https://vul.now/precve abrufbar.
Betreuer von Open-Source-Projekten sowie Programme zur koordinierten
Schwachstellenoffenlegung können die Meldeprozesse und Einreichungsrichtlinien
in der VulNow-Richtlinie zur koordinierten Offenlegung einsehen.
Über das CVE-Programm
Die Aufgabe des CVE™-Programms besteht darin, öffentlich bekannt gewordene
Cybersicherheitslücken zu identifizieren, zu definieren und zu katalogisieren.
Für jede im Katalog erfasste Schwachstelle wird ein eigener CVE-Eintrag
erstellt. Die Schwachstellen werden von Organisationen weltweit entdeckt, die
mit dem CVE-Programm zusammenarbeiten, und anschließend zugeordnet sowie
veröffentlicht. Diese Partner stellen die CVE-Einträge bereit, um einheitliche
und konsistente Beschreibungen der Schwachstellen sicherzustellen. IT- und
Cybersicherheitsexperten nutzen CVE-Einträge, um zu gewährleisten, dass sie
sich auf die gleichen Schwachstellen beziehen. Auf diese Weise können sie ihre
Maßnahmen zur Priorisierung und Behebung effizient koordinieren.
Über VulNow B.V.
VulNow B.V. mit Hauptsitz in den Niederlanden bietet prädikative
Bedrohungsinformationen für das moderne Risikomanagement in der
Software-Lieferkette. Durch den Einsatz fortschrittlicher
Machine-Learning-Methoden zur Erkennung bislang nicht offengelegter
Schwachstellen, stiller Patches und sogenannter „Dark Matter Vulnerabilities™“
noch vor der Veröffentlichung öffentlicher Sicherheitshinweise liefert VulNow
Frühwarn-Telemetriedaten an Sicherheitsverantwortliche in Unternehmen sowie
Betreiber kritischer Infrastrukturen.
Medienkontakt:
VulNow B.V.
info@vul.now
https://vul.now