^AMSTERDAM, July 01, 2026 (GLOBE NEWSWIRE) -- VulNow B.V. (https://vul.now/),

eine Plattform für prädiktive Risikoanalysen in der Software-Lieferkette, gab

heute ihre offizielle Ernennung zur CVE(TM) (Common Vulnerabilities and Exposures)

Numbering Authority (CNA) unter der CVE-Root-Instanz der Europäischen Agentur

für Cybersicherheit (ENISA) bekannt. Mit der Ernennung wird VulNows Verfahren

zur koordinierten Offenlegung von Sicherheitslücken offiziell anerkannt.

Gleichzeitig ist das Unternehmen nun berechtigt, CVE-Kennungen (CVE-IDs) direkt

für Schwachstellen zu vergeben, die über seine prädiktive Analyseplattform

identifiziert werden - sowohl in eigenen Produkten als auch in Open-Source-

Projekten Dritter, sofern diese noch nicht in den Zuständigkeitsbereich einer

anderen CNA fallen.

Vom reaktiven zum prädiktiven Schwachstellenmanagement

Herkömmliche Programme zum Schwachstellenmanagement stoßen bei der frühzeitigen

Erkennung neuer Bedrohungen an ihre Grenzen. VulNow liefert PreCVE-Intelligence

zu potenziellen Sicherheitslücken, die herkömmliche Schwachstellenscanner noch

nicht erkennen können - noch bevor eine CVE-ID offiziell vergeben wird. Während

des koordinierten Offenlegungsprozesses erhalten Unternehmen, die VulNows

Intelligence in ihre Plattformen und Tools integriert haben, exklusiven Zugang

zu diesen PreCVEs. Nach Abschluss dieses Prozesses veröffentlicht VulNow im

Namen von Betreuern von Open-Source-Projekten, die selbst keine CNA sind, den

offiziellen CVE-Eintrag und ermöglicht so die öffentliche Offenlegung und

Behebung der Schwachstelle.

Dark Matter Vulnerabilities(TM) sichtbar machen

Durch die Partnerschaft mit dem CVE-Programm kann VulNow eine bislang kaum

erfasste Risikokategorie systematisch öffentlich dokumentieren. Die VulNow-

Plattform konzentriert sich auf sogenannte Dark Matter Vulnerabilities(TM) -

Sicherheitslücken, die in Code-Repositories von Betreuern stillschweigend oder

unbeabsichtigt behoben wurden, ohne dass dafür eine CVE-ID vergeben oder ein

Sicherheitshinweis veröffentlicht wurde. Da herkömmliche Schwachstellenscanner

für Unternehmen ausschließlich auf veröffentlichten CVE-Datenbanken basieren,

bleiben diese nicht dokumentierten Codeänderungen für Sicherheitsteams

unsichtbar. Angreifer hingegen können sie durch Reverse Engineering von Open-

Source-Software weiterhin identifizieren und ausnutzen.

?Der Erhalt des CNA-Status unter der ENISA-Root-Instanz ist ein struktureller

Meilenstein für unser Unternehmen, unsere Kunden und unsere Partner im Bereich

Sicherheitslösungen", so Cassie Crossley, CEO und Mitgründerin von VulNow.

?Herkömmliche Schwachstellenscanner erkennen Dark Matter Vulnerabilities(TM) nicht,

da sie sich ausschließlich auf CVE-Feeds nach der Veröffentlichung stützen.

Durch die formale Etablierung unseres Offenlegungsprozesses als CNA können wir

unseren umfangreichen Bestand an aktiven PreCVE-Informationen schnell in die

öffentliche Dokumentation überführen. Dadurch verkürzen wir das Zeitfenster für

Angreifer und unterstützen unsere Kunden und Partner dabei, frühzeitig

Compliance-Anforderungen zu erfüllen - noch vor Ablauf der Fristen der EU-CRA

zur Schwachstellenmeldung sowie der weitergehenden Compliance-Pflichten ab

2027."

Validierte operative Telemetrie

Der VulNow-Bericht zur Bedrohungslage für das erste Quartal 2026

(https://vul.now/reports/VulNow_Q1_2026_PreCVE_Confirmation_Report.pdf)

beschreibt die Leistungsfähigkeit dieser Pipeline im operativen Einsatz. Im

ersten Quartal 2026 bestätigte VulNow eine Teilmenge von 58 PreCVE-Erkennungen,

die erfolgreich bestehenden, veröffentlichten CVE-Einträgen zugeordnet werden

konnten. Die Plattform erzielte dabei eine durchschnittliche Vorwarnzeit von

6,6 Tagen für eine überwachte Teilmenge zentraler Open-Source-Pakete, die

gemeinsam rund 13,2 Milliarden monatliche Downloads abdecken.

Der Bericht hebt zudem ein maximales Vorhersagefenster von 154 Tagen und 15

Stunden für eine Schwachstelle (CVE-2026-39865) im Open-Source-Projekt ?axios"

hervor und unterstreicht damit die Fähigkeit der Plattform, Risiken bereits

Monate vor der Verfügbarkeit klassischer Signaturen zu identifizieren. Der CNA-

Status ermöglicht es VulNow, diese frühen Signale in skalierbare, registrierte

Sicherheitshinweise zu überführen. Bestätigte PreCVEs sind unter

https://vul.now/precve abrufbar.

Betreuer von Open-Source-Projekten sowie Programme zur koordinierten

Schwachstellenoffenlegung können die Meldeprozesse und Einreichungsrichtlinien

in der VulNow-Richtlinie zur koordinierten Offenlegung (https://vul.now/cvd)

einsehen.

Über das CVE-Programm

Die Aufgabe des CVE(TM)-Programms besteht darin, öffentlich bekannt gewordene

Cybersicherheitslücken zu identifizieren, zu definieren und zu katalogisieren.

Für jede im Katalog erfasste Schwachstelle wird ein eigener CVE-Eintrag

erstellt. Die Schwachstellen werden von Organisationen weltweit entdeckt, die

mit dem CVE-Programm zusammenarbeiten, und anschließend zugeordnet sowie

veröffentlicht. Diese Partner stellen die CVE-Einträge bereit, um einheitliche

und konsistente Beschreibungen der Schwachstellen sicherzustellen. IT- und

Cybersicherheitsexperten nutzen CVE-Einträge, um zu gewährleisten, dass sie sich

auf die gleichen Schwachstellen beziehen. Auf diese Weise können sie ihre

Maßnahmen zur Priorisierung und Behebung effizient koordinieren.

Über VulNow B.V.

VulNow B.V. mit Hauptsitz in den Niederlanden bietet prädikative

Bedrohungsinformationen für das moderne Risikomanagement in der Software-

Lieferkette. Durch den Einsatz fortschrittlicher Machine-Learning-Methoden zur

Erkennung bislang nicht offengelegter Schwachstellen, stiller Patches und

sogenannter ?Dark Matter Vulnerabilities(TM)" noch vor der Veröffentlichung

öffentlicher Sicherheitshinweise liefert VulNow Frühwarn-Telemetriedaten an

Sicherheitsverantwortliche in Unternehmen sowie Betreiber kritischer

Infrastrukturen.

Medienkontakt:

VulNow B.V.

info@vul.now

https://vul.now (https://vul.now/)

°