详细内容或原文请订阅后点击阅览
NIST 更新 NVD 操作以应对创纪录的 CVE 增长
新的基于风险的模型将使 NIST 能够管理当前的 CVE 数量,同时实现 NVD 的现代化以实现长期可持续性。 NIST 正在改变其处理网络安全漏洞和暴露 (CVE) 的方式,这些漏洞和暴露在其国家漏洞中列出
来源:美国国家标准与技术研究院__信息技术信息新的基于风险的模型将使 NIST 能够管理当前的 CVE 数量,同时实现 NVD 的现代化以实现长期可持续性。
NIST 正在改变其处理国家漏洞数据库 (NVD) 中列出的网络安全漏洞和暴露 (CVE) 的方式。过去,NIST 的 NVD 计划旨在分析所有 CVE 以添加详细信息(例如严重性评分和产品列表),以帮助网络安全专业人员确定漏洞的优先级并减轻漏洞的影响。展望未来,NIST 将添加详细信息或“丰富”那些满足特定标准的 CVE,如下所述。不符合这些标准的 CVE 仍将列在 NVD 中,但 NIST 不会自动对其进行丰富。
这一变化是由 CVE 提交量激增推动的,2020 年至 2025 年间,CVE 提交量增加了 263%。我们预计这一趋势不会很快减弱。 2026 年前三个月的提交量比去年同期增加了近三分之一。
我们的工作速度比以往任何时候都快。 2025 年,我们丰富了近 42,000 个 CVE,比往年增加了 45%。但这种生产力的提高还不足以跟上不断增长的提交量。因此,我们正在制定一种新方法。下面描述的更改将使我们能够专注于最关键的 CVE,同时对我们如何管理当前工作负载保持透明。它们还将使我们能够稳定项目,同时开发长期可持续发展所需的自动化系统和工作流程增强功能。
新的优先级标准从 2026 年 4 月 15 日开始,我们将优先丰富以下 CVE:
也就是说,这些标准可能无法涵盖所有潜在的高影响 CVE。因此,用户可以通过发送电子邮件至 nvd[at]nist.gov(nvd[at]nist[dot]gov) 来请求丰富任何计划外的 CVE。我们将审查这些请求并在资源允许的情况下安排 CVE 进行充实。
简化严重性分数 修改后的 CVE 的处理 CVE 积压工作 新状态标签和其他信息