美国国家标准与技术研究院调整漏洞数据库运营策略
美国国家标准与技术研究院近日对其国家漏洞数据库的运营方式进行了重大调整。未来将不再对所有收到的通用漏洞披露进行统一分析,而是转向一套“基于风险的筛选”机制,即优先处理实际风险较高的漏洞。
此项调整源于CVE数量激增,使得原有处理模式难以为继。数据显示,自2020年至2025年,CVE接收量增长了263%,2026年第一季度的接收量也较去年同期增加了约三分之一。尽管研究院在2025年已强化处理了约4.2万条CVE信息,较前一年增长45%,但仍未能跟上漏洞数量的增长速度。
根据新标准,研究院将仅对符合以下三项条件的CVE进行优先“完全强化”:被列入美国网络安全和基础设施安全局“已知被利用漏洞”清单的漏洞;对美国联邦政府使用的软件产生影响的漏洞;以及对行政命令14028所定义的“关键软件”产品产生影响的漏洞。
特别值得注意的是,对于进入CISA“已知被利用漏洞”清单的漏洞,目标是在收到后一个工作日内完成强化处理。而未包含在上述清单内的CVE虽仍会录入国家漏洞数据库,但将被归类为“未安排计划”。此类漏洞将不会自动获得用于指导安全团队确定补丁优先级的风险评分及产品信息。
研究院还计划清理自2024年初以来积压的未处理项目。原则上,在2026年3月1日前已公开但尚未强化的CVE将被移至“未安排计划”类别,不过已列入“已知被利用漏洞”清单的漏洞将不在此次清理范围内。
处理流程亦得到部分简化。若CVE编号颁发机构已自行提供风险评分,研究院将不再重复计算相同分数。此外,对于已修改的CVE,并非每次更新都重新分析,仅在强化数据受到实质性影响时才会进行复审。
虽然研究院并未直接指认人工智能是漏洞增长的主因,但业界普遍认为AI是推动CVE数量上升的关键因素之一。有专家指出,由AI发现的有效漏洞报告数量急剧增加,仅去年报告的漏洞数量据分析就增长了一倍以上。
专家评价此次政策变更为“合理的调整”,因为最重要的类别仍得到持续关注。随着大语言模型性能的提升,各组织将能够根据自身环境自行判断漏洞的优先级和背景,对外部“强化CVE”的依赖度可能因此逐渐降低。
此次公告向行业发出了明确信号,意味着等待CVE评分出炉再采取应对措施的时代已经结束。由于漏洞可见性本质上并不完整,企业与机构不应仅依赖单一数据库,而需综合利用多源漏洞信息,才能做出更准确的判断。
此次改革更接近于市场结构的演变,而非简单的行政调整。在漏洞数量激增的环境下,以相同深度分析所有条目的方式已面临瓶颈。安全实践领域未来将更看重结合威胁情报与资产状况进行快速判断的能力,而非单纯等待官方评分。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注