^AMSTERDAM, July 01, 2026 (GLOBE NEWSWIRE) -- VulNow B.V. (https://vul.now/),
eine Plattform für prädiktive Risikoanalysen in der Software-Lieferkette, gab
heute ihre offizielle Ernennung zur CVE(TM) (Common Vulnerabilities and Exposures)
Numbering Authority (CNA) unter der CVE-Root-Instanz der Europäischen Agentur
für Cybersicherheit (ENISA) bekannt. Mit der Ernennung wird VulNows Verfahren
zur koordinierten Offenlegung von Sicherheitslücken offiziell anerkannt.
Gleichzeitig ist das Unternehmen nun berechtigt, CVE-Kennungen (CVE-IDs) direkt
für Schwachstellen zu vergeben, die über seine prädiktive Analyseplattform
identifiziert werden - sowohl in eigenen Produkten als auch in Open-Source-
Projekten Dritter, sofern diese noch nicht in den Zuständigkeitsbereich einer
anderen CNA fallen.
Vom reaktiven zum prädiktiven Schwachstellenmanagement
Herkömmliche Programme zum Schwachstellenmanagement stoßen bei der frühzeitigen
Erkennung neuer Bedrohungen an ihre Grenzen. VulNow liefert PreCVE-Intelligence
zu potenziellen Sicherheitslücken, die herkömmliche Schwachstellenscanner noch
nicht erkennen können - noch bevor eine CVE-ID offiziell vergeben wird. Während
des koordinierten Offenlegungsprozesses erhalten Unternehmen, die VulNows
Intelligence in ihre Plattformen und Tools integriert haben, exklusiven Zugang
zu diesen PreCVEs. Nach Abschluss dieses Prozesses veröffentlicht VulNow im
Namen von Betreuern von Open-Source-Projekten, die selbst keine CNA sind, den
offiziellen CVE-Eintrag und ermöglicht so die öffentliche Offenlegung und
Behebung der Schwachstelle.
Dark Matter Vulnerabilities(TM) sichtbar machen
Durch die Partnerschaft mit dem CVE-Programm kann VulNow eine bislang kaum
erfasste Risikokategorie systematisch öffentlich dokumentieren. Die VulNow-
Plattform konzentriert sich auf sogenannte Dark Matter Vulnerabilities(TM) -
Sicherheitslücken, die in Code-Repositories von Betreuern stillschweigend oder
unbeabsichtigt behoben wurden, ohne dass dafür eine CVE-ID vergeben oder ein
Sicherheitshinweis veröffentlicht wurde. Da herkömmliche Schwachstellenscanner
für Unternehmen ausschließlich auf veröffentlichten CVE-Datenbanken basieren,
bleiben diese nicht dokumentierten Codeänderungen für Sicherheitsteams
unsichtbar. Angreifer hingegen können sie durch Reverse Engineering von Open-
Source-Software weiterhin identifizieren und ausnutzen.
?Der Erhalt des CNA-Status unter der ENISA-Root-Instanz ist ein struktureller
Meilenstein für unser Unternehmen, unsere Kunden und unsere Partner im Bereich
Sicherheitslösungen", so Cassie Crossley, CEO und Mitgründerin von VulNow.
?Herkömmliche Schwachstellenscanner erkennen Dark Matter Vulnerabilities(TM) nicht,
da sie sich ausschließlich auf CVE-Feeds nach der Veröffentlichung stützen.
Durch die formale Etablierung unseres Offenlegungsprozesses als CNA können wir
unseren umfangreichen Bestand an aktiven PreCVE-Informationen schnell in die
öffentliche Dokumentation überführen. Dadurch verkürzen wir das Zeitfenster für
Angreifer und unterstützen unsere Kunden und Partner dabei, frühzeitig
Compliance-Anforderungen zu erfüllen - noch vor Ablauf der Fristen der EU-CRA
zur Schwachstellenmeldung sowie der weitergehenden Compliance-Pflichten ab
2027."
Validierte operative Telemetrie
Der VulNow-Bericht zur Bedrohungslage für das erste Quartal 2026
(https://vul.now/reports/VulNow_Q1_2026_PreCVE_Confirmation_Report.pdf)
beschreibt die Leistungsfähigkeit dieser Pipeline im operativen Einsatz. Im
ersten Quartal 2026 bestätigte VulNow eine Teilmenge von 58 PreCVE-Erkennungen,
die erfolgreich bestehenden, veröffentlichten CVE-Einträgen zugeordnet werden
konnten. Die Plattform erzielte dabei eine durchschnittliche Vorwarnzeit von
6,6 Tagen für eine überwachte Teilmenge zentraler Open-Source-Pakete, die
gemeinsam rund 13,2 Milliarden monatliche Downloads abdecken.
Der Bericht hebt zudem ein maximales Vorhersagefenster von 154 Tagen und 15
Stunden für eine Schwachstelle (CVE-2026-39865) im Open-Source-Projekt ?axios"
hervor und unterstreicht damit die Fähigkeit der Plattform, Risiken bereits
Monate vor der Verfügbarkeit klassischer Signaturen zu identifizieren. Der CNA-
Status ermöglicht es VulNow, diese frühen Signale in skalierbare, registrierte
Sicherheitshinweise zu überführen. Bestätigte PreCVEs sind unter
https://vul.now/precve abrufbar.
Betreuer von Open-Source-Projekten sowie Programme zur koordinierten
Schwachstellenoffenlegung können die Meldeprozesse und Einreichungsrichtlinien
in der VulNow-Richtlinie zur koordinierten Offenlegung (https://vul.now/cvd)
einsehen.
Über das CVE-Programm
Die Aufgabe des CVE(TM)-Programms besteht darin, öffentlich bekannt gewordene
Cybersicherheitslücken zu identifizieren, zu definieren und zu katalogisieren.
Für jede im Katalog erfasste Schwachstelle wird ein eigener CVE-Eintrag
erstellt. Die Schwachstellen werden von Organisationen weltweit entdeckt, die
mit dem CVE-Programm zusammenarbeiten, und anschließend zugeordnet sowie
veröffentlicht. Diese Partner stellen die CVE-Einträge bereit, um einheitliche
und konsistente Beschreibungen der Schwachstellen sicherzustellen. IT- und
Cybersicherheitsexperten nutzen CVE-Einträge, um zu gewährleisten, dass sie sich
auf die gleichen Schwachstellen beziehen. Auf diese Weise können sie ihre
Maßnahmen zur Priorisierung und Behebung effizient koordinieren.
Über VulNow B.V.
VulNow B.V. mit Hauptsitz in den Niederlanden bietet prädikative
Bedrohungsinformationen für das moderne Risikomanagement in der Software-
Lieferkette. Durch den Einsatz fortschrittlicher Machine-Learning-Methoden zur
Erkennung bislang nicht offengelegter Schwachstellen, stiller Patches und
sogenannter ?Dark Matter Vulnerabilities(TM)" noch vor der Veröffentlichung
öffentlicher Sicherheitshinweise liefert VulNow Frühwarn-Telemetriedaten an
Sicherheitsverantwortliche in Unternehmen sowie Betreiber kritischer
Infrastrukturen.
Medienkontakt:
VulNow B.V.
info@vul.now
https://vul.now (https://vul.now/)
°