NIST National Vulnerability Database(NVD)는 NIST(National Institute of Standards)가 관리하는 취약점 데이터베이스입니다. 그러나 NIST의 NVD를 활용하는 것은 일부 조직에게 어려움이 되어 왔습니다. 최근에는 NIST NVD의 신규 취약점 처리 속도도 늦어져, 이 공백을 메우기 위해 VulnCheck가 커뮤니티 서비스를 제공하게 되었습니다.
NVD++는 보안 팀과 실무자를 지원하기 위해 VulnCheck 커뮤니티 리소스에 새롭게 추가된 서비스입니다. 2023년 12월, VulnCheck는 첫 번째 커뮤니티 리소스로 NIST NVD 1.0 오프라인 백업의 영구적인 지원과 유지보수를 발표했습니다. 이는 마이그레이션 마감일 전에 제공된 것이며, NVD++는 다운로드 가능한 JSON 백업 파일을 포함한 1.0 API와 2.0 API를 모두 통합한 단일 리소스로 제공됩니다.
2024년 3월에는 VulnCheck가 NIST NVD 2.0 데이터까지 커뮤니티 지원을 확장하여 백업과 API 접근을 제공했습니다. 또한, 분석 대기 중인 CVE의 증가하는 적체를 돕기 위해 VulnCheck는 NVD 1.0과 2.0을 VulnCheck가 생성한 CPE 데이터로 보강하고 있습니다.
2024년 5월에는 VulnCheck가 CVE 프로그램의 Mitre CVElist를 VulnCheck NVD++에 추가하여 API 접근을 제공하기로 결정했습니다. 이를 통해 커뮤니티는 NVD와 CVElist를 중앙화된 API 서비스에서 모두 활용할 수 있게 되었습니다.
많은 조직이 처음 NIST NVD를 경험한 것은 NIST NVD 1.0 오프라인 백업(대량 데이터 다운로드)을 통해서였습니다. 여러 조직이 이러한 데이터 다운로드를 기반으로 통합 기능을 구축했으나, 이후 NIST에서 이를 중단했습니다.
NIST가 NVD 1.0 오프라인 백업을 중단한 후, 사용자들은 NVD 1.0 API로 마이그레이션해야 했습니다. 그러나 2023년 12월 15일에 이 NVD 1.0 API마저 폐기되었습니다.
NIST의 NVD 2.0에서는 오프라인 백업이 다시 제공되지 않았고, API는 종종 타임아웃이나 503 Service Unavailable 오류를 발생시켰습니다. 2024년 초, NIST는 https://nvd.nist.gov 웹사이트에 다소 불안감을 주는 메시지를 게시하여 사이버 보안 커뮤니티 일부가 NIST의 NVD 참여 지속 여부에 우려를 가지게 되었습니다. VulnCheck 역시 이러한 우려를 공유하며 커뮤니티를 지원할 준비가 되어 있음을 느꼈습니다.