NCSC kwetsbaarheden service

Op deze website publiceren wij actuele informatie over kwetsbaarheden in hard- en software. In een snel veranderend digitaal landschap is het cruciaal dat organisaties direct toegang hebben tot data over kwetsbaarheden. Wij streven ernaar deze informatie zo snel mogelijk beschikbaar te stellen. Hierdoor kunnen er in korte tijd veel updates plaatsvinden.

Van reactief naar eigen regie

Het aantal kwetsbaarheden dat wereldwijd wordt ontdekt is enorm. De expliciete Security Advisories die het NCSC publiceert beslaan slechts een fractie hiervan, namelijk de zaken die landelijk of sector breed een hoog risico vormen.

Onze visie is gericht op het vergroten van de digitale weerbaarheid en zelfredzaamheid van organisaties. Een volwassen vulnerability management proces vraagt om eigen inzicht en mag niet exclusief afhankelijk zijn van handmatige NCSC-adviezen.

Wij stellen alle verzamelde CVE-data (Common Vulnerabilities and Exposures) beschikbaar via dit platform, met als doel:

Eigen filtering: Organisaties kunnen zelf inzicht krijgen in alle relevante dreigingen, niet alleen degene die het NCSC als 'High Impact' bestempelt.
Filter op relevantie: Je kunt op basis van jouw eigen infrastructuur en risicoprofiel bepalen wat voor jou belangrijk is.
Automatisering: Door de data in een standaardformaat aan te bieden, kunnen security-processen worden geautomatiseerd.

Beschouw de reguliere NCSC-Security Advisories als een essentiële aanvulling en validatie ("uitgelichte zaken"), en gebruik deze datasource als de brede basis voor uw vulnerability monitoring.

Hoe werkt de service?

Achter de schermen draait onze engine (intern genaamd 'V.E.L.M.A'). Deze verzamelt continu informatie van diverse bronnen. Omdat elke bron zijn eigen publicatieformaat hanteert (zoals JSON, HTML, XML, etc...), transformeert onze engine deze data naar een uniform datamodel.

Dataverrijking en Normalisatie

Tijdens dit proces voeren wij diverse verbeteringen door:

Uniformiteit: Wij proberen product- en leveranciersnamen (vendors) zoveel mogelijk gelijk te trekken (normaliseren) om de doorzoekbaarheid te vergroten.
Validatie: Wij proberen fouten in de broninformatie te detecteren. In sommige situaties duiden we data expliciet als 'invalide' als blijkt dat de bron een fout heeft gemaakt.
Hulp gevraagd: Ondanks onze inspanningen kan er iets missen of onjuist zijn. Zie je data die niet klopt? Wij horen het graag van je zodat wij de kwaliteit kunnen verbeteren.

Bronnen

Wij aggregeren informatie van een groot aantal bronnen:

Adobe, Android, Apple, Arista, Bleepingcomputer, Broadcom, CVEProjectV5, CertBundDe, Chrome, CisaGov, Cisco, Citrix, Debian, F5, First, Fortinet, Github, HKCert, HPE, IBM, Ivanti, Juniper, Kubernetes, Microsoft, Mitre, Mozilla, NCSC, NVD, NetApp, Oracle, Osv, PaloAlto, RedHat, Sap, Samsung, Schneider, SecurityNl, SecurityWeek, Sick, Siemens, Sonicwall, Threatpost, Tibco, Veeam, VMware, Wired, Zimbra, NodeSecurityWg, OpenJdk, Nginx, GitLab, Pyupio, OpenSSL, EuvdKEV, NucleiTemplates.

Technische Implementatie (CSAF)

De gegevens worden door ons gepubliceerd in het CSAF-formaat (Common Security Advisory Framework). Alle andere weergaven, zoals de HTML op deze website, zijn afgeleid van deze brondata. Voor geautomatiseerde verwerking van onze gegevens adviseren wij daarom om direct gebruik te maken van de CSAF-bestanden.

Let op: Ons systeem hanteert een rate limit van 2000 requests per minuut.

CSAF Versiebeheer

Op dit moment publiceren wij data in CSAF-versie 2.0. Wanneer er een nieuwe versie van de CSAF-standaard beschikbaar komt, stappen wij daar standaard op over.

Er is altijd alleen de meest recente versie van een CSAF-bestand beschikbaar; oudere versies worden overschreven.
Vanaf het moment dat wij overgaan op een nieuwe versie, ondersteunen wij de vorige versie nog gedurende een overgangsperiode van zes maanden.

Voorbeeld: Als CSAF-versie 2.1 op 1 januari 2026 wordt uitgebracht en wij deze vanaf 15 maart 2026 implementeren, dan stoppen wij op 15 september 2026 met het publiceren in versie 2.0.

Specifieke CSAF-keuzes en beperkingen

Hoewel CSAF 2.0 een vastgesteld formaat is, zijn er situaties waarin de data niet één-op-één past. Wij hanteren de volgende logica:

Meerdere CWE's: Wij ontvangen soms meerdere CWE's (Common Weakness Enumerations) voor één kwetsbaarheid vanuit verschillende bronnen. Omdat CSAF slechts één CWE toestaat, selecteren wij de eerste en publiceren wij er slechts één.
Product Status Conflicten: Door verschillende bronnen kan een product tegenstrijdige statussen krijgen (bijvoorbeeld: de ene bron zegt `KNOWN_AFFECTED`, de andere `FIXED`). Omdat één status vereist is, hanteren wij de volgende prioriteit:
1. KNOWN_AFFECTED heeft prioriteit boven andere statussen (om te voorkomen dat een kwetsbaarheid wordt gemist).
2. In het geval van een conflict tussen FIXED en KNOWN_NOT_AFFECTED, heeft FIXED de voorkeur.
Extra Velden (Notes): Data waarvoor geen standaardveld bestaat in CSAF 2.0, wordt toegevoegd onder de sectie `notes`. Dit geldt voor:
1. EPSS scores
2. CVSS V4 scores (mits bekend)
3. NCSC-score
4. Vendor Assessments

Generator Metadata

In elk CSAF-bestand staat vermeld welke softwareversie is gebruikt om het bestand te genereren. Naast wijzigingen in de CSAF-standaard, voeren wij ook aanpassingen door in onze eigen engine. Dit is terug te vinden in de header van de JSON:


{
    "generator": {
        "date": "2025-02-06T15:41:00Z",
        "engine": {
            "name": "V.E.L.M.A",
            "version": "1.3"
        }
    }
}

Changelog

Een changelog van de veranderingen staat hieronder:

datum	versie	verandering
2025-10-02	V.E.L.M.A - 1.6	Exploitable, Vendor assessment en Flags toegevoegd
2025-09-24	V.E.L.M.A - 1.5	Nieuw NCSC-score model
2025-03-17	V.E.L.M.A - 1.4	NCSC-score toegevoegd als note
2025-02-06	V.E.L.M.A - 1.3	CVSS4 is toegevoegd als note, mits bekend
2025-01-29	V.E.L.M.A - 1.2	introductie "source raw": de collection url
2025-01-13	V.E.L.M.A - 1.1	eerste versie met een nummer