Az Amerikai Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) nemrég nyilvánosságra hozott egy listát, amely aktuálisan körülbelül 300 olyan sebezhetőséget tartalmaz, amelyekről ismert, hogy aktívan kihasználják őket, és kötelező érvényű utasítást (BOD) adott ki, amelyben utasítja az amerikai kormányzati szervezeteket, hogy javítsák ki ezeket a biztonsági hiányosságokat. A listában olyan cégóriások termékei is megtalálhatóak, mint például az Apple, Google, Mozilla, WordPress és a Microsoft ─ a teljes lista elérhető itt. A nyilvántartást a CISA folyamatosan frissíti, azonban egy sérülékenység csak akkor kerülhet fel, amennyiben a hiba kihasználására megbízható bizonyíték érhető el, és amennyiben a hiba élesben is ─ nem csupán „labor körülmények” között ─ jelentkezik, illetve a közzététel előtt az is ellenőrzésre kerül, hogy rendelkezésre áll-e már javítás, frissítés. Maga az utasítás tartalmazza, hogy az állami szervek 60 napon belül vizsgálják felül rendszereiket, és ha szükséges frissítsék azokat. A 2021 előtt feltárt CVE azonosítóval rendelkező hibákat 6 hónapon belül kell javítaniuk, míg az idei felfedezéseket két héten belül szükséges megoldani. Bár az előírások csak a kormányzati szervek számára kötelezőek, ajánlják, hogy a magánvállalatok is kövessék példájukat.
