Ведение базы уязвимостей NVD NIST было проаудировано Министерством торговли США. NIST обвинили в отсутствии стратегических и своевременных решений по проблеме бэклога NIST NVD, с чем NIST согласился.

По итогам аудита:
1. NIST составит план по борьбе с бэклогом.
2. Будет разработано решение по приоритезации обработки уязвимостей.
3. NIST перестанет рассчитывать CVSS по умолчанию, если он уже есть или нет явного запроса на это или проблем с расчетом. Будет оценена возможность автоматизации этого процесса.
4. Расчет CVSS теперь будет доступен в виде базы.
5. Будет расширен доступ к системе CPE (Common Platform Enumeration, связка уязвимость-конкретная версия продукта) для внешних организаций.
6.Программы NIST и CISA будут скорректированы для исключения взаимного дублирования обогащения уязвимостей одним и тем же исполнителем.
7. Будет разработано новая стратегия коммуникации со стейкхолдерами.

Сам отчёт по аудиту публичный и содержит больше деталей.