Auch wenn es in einer globalisierten Sicherheitsumgebung nicht mehr sinnvoll sei, das CVE-System als „einzige Quelle der Wahrheit“ zu betrachten, könnte die Einführung des EUVD „zu Konflikten bei der Bewertung und Problemen bei der Priorisierung von Risiken führen,“, räumt Haber ein.
Laut Boris Cipot, Senior Security Engineer bei Black Duck (ehemals Synopsys), bedeutet die Einführung eines neuen Schwachstellensystems auch mehr Arbeit für Sicherheitsexperten. „Nun muss eine weitere Datenbank überwacht und herangezogen werden. Dies erhöht die Komplexität für Unternehmen, die mehrere Quellen im Blick behalten, deren Unterschiede verstehen und eine umfassende Abdeckung sicherstellen müssen“, führt der Security-Spezialist aus.
„Unternehmen, die sich ausschließlich auf die US-amerikanische National Vulnerability Database verlassen, sollten prüfen, wie ihre Tools zur Software-Zusammensetzungsanalyse (SCA) neue Quellen wie die EUVD einbeziehen“, empfiehlt Cipot. „Alternativ müssen sie möglicherweise manuelle Prozesse einrichten, um die EUVD direkt zu überwachen, insbesondere um potenzielle EU-Vorschriften einzuhalten oder die Anforderungen von Kunden und Projekten mit Sitz in der EU zu erfüllen.“
