# NIST 引入 CVE 优先级排序:这将如何改变漏洞管理
美国国家标准与技术研究院 (NIST) 已正式转向基于风险的漏洞处理模式。从 2026 年 4 月 15 日起,只有符合严格优先级标准的 CVE 才会获得国家漏洞数据库 (NVD) 的完整分析处理。其余 CVE 将被标记为“不计划”。这一决定源于 2020 年至 2025 年 CVE 请求量激增 263%,以及无法维持以往手动数据丰富化的水平。
NIST 为什么改变 CVE 处理方式
新漏洞数据量已达到临界点。2025 年,NVD 记录了近 42,000 个 CVE——比以往任何一年增长 45%。2026 年前三个月,请求量又增加了三分之一。与此同时,NIST 的资源有限,对每条记录的手动验证和丰富化需要大量时间和人力。
此前,NIST 旨在为所有漏洞提供统一、全面的信息:CVSS 分数、技术细节以及修复链接。如今,该机构承认这种模式已过时。新策略的目标是聚焦那些可能对基础设施和安全造成广泛影响的漏洞。
优先级标准:哪些 CVE 将获得处理
根据更新后的政策,只有以下类别的漏洞才能在 NVD 中获得完整处理保障:
- 美国网络安全与基础设施安全局 (CISA) 已知利用漏洞 (KEV) 目录中包含的漏洞;
- 美国联邦政府使用的软件中的漏洞;
- 根据《14028 号行政命令》定义的关键软件中的漏洞。此类软件包括:
- 以提升或托管权限运行的系统;
- 具有网络或计算资源特权访问权限的系统;
- 控制数据或运营技术访问权限的系统;
- 在正常信任边界之外以扩展权限运行的系统。
所有其他 CVE 将自动获得“不计划”状态。这并不意味着它们从数据库中移除——它们仍保留在 NVD 中,但不会获得 NIST 的额外分析。
NVD 工作流程的变化
除了优先级排序外,NIST 还进行了多项技术和程序调整:
- 不再重复提供 CVSS 分数:如果 CVE 程序已提供严重性分数,NIST 将不再发布自己的分数。
- 仅对重大影响进行重新分析:已处理 CVE 的变更不会触发自动审查,除非其实质性影响处理数据。
- 批量移动旧记录:2026 年 3 月 1 日之前发布的所有未处理 CVE 已移至“不计划”状态,除已列入 KEV 的 CVE 外。
- 界面和标签更新:NVD 仪表板现在显示每个漏洞的实时处理状态。
用户可以通过电子邮件 [email protected] 请求特定 CVE 的处理。不过,NIST 保留拒绝的权利,如果该漏洞不符合风险标准。
对行业和安全实践的影响
这一举措标志着政府主导的集中式所有漏洞评估时代的终结。正如 Caitlin Condon (VulnCheck) 所言:“我们不再生活在一个手动丰富化新漏洞可行的世界。”
对于组织而言,这意味着转向主动风险管理:
- 集成外部数据源(包括商业平台和开源信息流);
- 基于上下文自动化优先级排序:活跃利用、KEV 列入以及在本机构基础设施中的使用;
- 摆脱对 CVSS 分数的盲目依赖,转向真实可利用性和业务影响分析。
David Lindner (Contrast Security) 强调:“依赖精心策划的有价值数据集合,对国家韧性而言远比维护一个全面但难以管理的每处小缺陷档案更有效。”
关键要点
- NIST 不再处理所有 CVE——仅处理符合高风险标准的 CVE。
- 非优先漏洞保留在 NVD 中,但没有 CVSS 分数或 NIST 额外分析。
- 组织需要彻底改革漏洞管理流程,强调上下文和真实威胁。
- 可以请求非优先 CVE 处理,但 NIST 不保证执行。
- 趋势指向网络安全生态系统的去中心化和专业化。
— Editorial Team
暂无评论。