美国国家标准与技术研究院调整漏洞数据库处理机制应对提交量激增
美国国家标准与技术研究院(NIST)宣布调整国家漏洞数据库(NVD)的漏洞富集政策,仅对高优先级漏洞进行自动富集处理。此举源于2020年至2025年间漏洞提交量激增263%。自2026年4月15日起,NIST将优先处理被列入CISA已知被利用漏洞目录、联邦政府使用软件及符合第14028号行政令定义的‘关键软件’的漏洞。不符合标准的漏洞将被标记为‘未安排’,但仍保留在NVD中。
NIST表示,该调整旨在集中资源应对具有最大系统性风险的漏洞。其指出,未优先处理的漏洞虽可能对特定系统产生重大影响,但一般不具备与优先类别同等的广泛风险。
此外,NIST将不再重复提供已由CVE编号机构提供的严重性评分,并对修改后的漏洞仅在‘实质性影响’富集数据时重新分析。用户可通过邮件请求特定漏洞重新分析。
所有在2026年3月1日前积压且未富集的漏洞将被归类为‘未安排’,但已列入CISA KEV目录的漏洞除外。NIST同步更新了漏洞状态标签及NVD仪表板,以实现实时数据展示。
该政策变化反映了全球网络安全挑战加剧背景下,公共机构对资源优化与风险优先级管理的重视。
编辑点评
此次NIST对NVD处理机制的调整,凸显了全球网络安全治理在漏洞数量爆炸式增长背景下的现实困境。2020至2025年间263%的漏洞提交量激增,反映出软件生态的复杂性与攻击面的持续扩大。NIST通过建立优先级标准,将资源集中于CISA KEV目录、联邦政府系统及关键软件,体现了从‘全面覆盖’向‘风险导向’的治理范式转变。这一调整虽可能降低部分非关键漏洞的响应速度,但有助于提升对高危漏洞的响应效率,间接增强国家网络韧性。对全球而言,该政策可能成为其他政府机构优化漏洞管理的参考模板。未来,如何在资源有限情况下平衡广度与深度,将成为各国网络安全机构的核心挑战。同时,企业与开源社区需更主动承担漏洞披露与修复责任,以减轻公共数据库的负担。