Hầu hết các CNA có thể gán mã định danh CVE cho các lỗ hổng được tìm thấy trong sản phẩm của chính họ, nhưng một số cũng có thể gán CVE cho các lỗ hổng do các nhà nghiên cứu của họ tìm thấy trong phần mềm của bên thứ ba không thuộc phạm vi của CNA khác.
Theo phân tích các thông báo do chương trình CVE đưa ra và nhận thấy rằng 54 CNA đã được bổ sung vào năm 2022, so với 43 CNA vào năm 2021.
Danh sách năm 2022 bao gồm các công ty an ninh mạng như Proofpoint, Bugcrowd, Qualys, CyberArk, Green Rocket Security, Dragos, SailPoint, Senhasegura, NetRise, HYPR và Netskope.
Các công ty công nghệ lớn như Baidu, Canon, Google (phần mềm nguồn mở), Seagate, Unisoc, GE Healthcare, Philips, Medtronic, Baxter Healthcare và Citrix hiện cũng là CNA.
Các nhà cung cấp giải pháp công nghiệp lớn như General Electric (Gas Power), Honeywell và Rockwell Automation hiện cũng có thể gán CVE cho các lỗ hổng.
Ngoài ra, còn có một số tổ chức quốc gia và tổ chức phi lợi nhuận đã tham gia danh sách CNA, bao gồm Viện tiết lộ lỗ hổng bảo mật (Dutch Institute for Vulnerability Disclosure - DIVD) của Hà Lan, Nhóm nghiên cứu bảo mật tự động (Automotive Security Research Group), Trung tâm an ninh mạng quốc gia của Slovakia (SK-CERT) và Trung tâm an ninh mạng quốc gia ở Hà Lan (NCSC-NL).
Danh sách các CNA mới cũng bao gồm Docker, WolfSSL, Grafana Labs, Honor, Zowe, OneKey, KrakenD, Dual Vipers, Baicells, HashiCorp, OpenCloudOS, OpenNMS Group, Crestron Electronics, OpenHarmony, Full Services, KNIME, OpenGauss Community, Hitachi và Hitachi Vantara, Hallo Welt, OpenAnolis, Nhóm nghiên cứu nâng cao ZUSO, Dự án Go, JetBrains, The Missing Link Australia (TML) và Dự án OpenBMC./.