สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ได้เปลี่ยนโมเดลการทำงานของ National Vulnerability Database (NVD) โดยจะจำกัดการให้ข้อมูลเสริม เช่น คะแนน CVSS, การแมป CPE และการจำแนก CWE เฉพาะในช่องโหว่ที่อยู่ในรายการ KEV ของ CISA หรือซอฟต์แวร์ที่มีความสำคัญระดับวิกฤตเท่านั้น เนื่องจากปริมาณ CVE ที่เพิ่มขึ้นอย่างก้าวกระโดดกว่า 263% ในรอบ 5 ปีที่ผ่านมา
การเปลี่ยนแปลงนี้สร้างความท้าทายให้กับโปรแกรมสแกนความปลอดภัยของ Container และการทำ Compliance (เช่น FedRAMP หรือ PCI-DSS) ที่เคยพึ่งพา NVD เป็นแหล่งข้อมูลหลัก โดยข้อมูลที่ขาดหายไปอาจทำให้เครื่องมือสแกนไม่สามารถระบุแพ็กเกจที่ได้รับผลกระทบได้แม่นยำ ซึ่ง Docker ได้แนะนำให้องค์กรต่างๆ เริ่มใช้แหล่งข้อมูลเสริมอื่นๆ และหันมาพึ่งพาระบบอย่าง SBOM และ VEX เพื่อระบุความเสี่ยงที่แท้จริงแทน
