文章总结： NIST宣布调整NVD运营策略，因CVE提交量激增263%无法全量分析，转而优先处理三类漏洞：KEV目录漏洞、政府软件漏洞和关键软件漏洞。旧积压漏洞将被标记为未安排，同时简化CVSS评分流程。行业认为此举是必要调整但将加重第三方分析负担，建议企业转向CNA数据或第三方平台进行风险评估。 综合评分： 82 文章分类： 漏洞分析,政策法规,威胁情报,安全运营,漏洞预警

从“全量覆盖”到“风险优先”：NIST收缩CVE漏洞分析范围

原创

网空闲话 网空闲话

网空闲话plus

2026年4月16日 07:21 四川

在小说阅读器读本章

去阅读

当地时间2026年4月15日，美国国家标准与技术研究院（NIST）宣布对其国家漏洞数据库（NVD）的运营方式进行重大调整。面对创纪录的CVE（公共漏洞与披露）提交量，NIST不再承诺分析所有漏洞，而是将资源集中于三类“优先级”漏洞，其余CVE将被列入“未安排”类别，不再由NIST自动丰富信息。这一转变标志着美国联邦政府在漏洞管理领域的标志性收缩。

漏洞洪水：263%的增长与永远追不上的积压

NIST在公告中披露了一组令人震惊的数据：2020年至2025年间，CVE提交量增长了263%，且“短期内不会减弱”。2026年前三个月的提交量比去年同期高出近三分之一。作为参照，微软在2026年4月的补丁日共修复了165个漏洞，是其历史上第二大的月度批次。

尽管NIST的工作效率已在提升——2025年分析了近4.2万个CVE，比以往任何一年增长45%——但仍无法跟上提交量的增速。更严峻的是，自2024年初因资金中断导致的积压问题至今未解决。NIST承认，所有发布日期早于2026年3月1日的积压CVE将被移至“未安排”类别，这意味着大量旧漏洞将永远得不到官方丰富。

新规则：三类优先，其余搁置

根据新政策，从2026年4月15日起，NIST仅优先处理以下三类CVE：一是出现在美国网络安全与基础设施安全局（CISA）“已知被利用漏洞目录”（KEV）中的CVE，目标在一个工作日内完成处理；二是联邦政府使用的软件中的CVE；三是根据第14028号行政命令定义的关键软件中的CVE。

NIST解释称，这一选择“使我们能够专注于可能产生广泛影响的CVE”。虽然不符合标准的CVE“可能对受影响系统造成重大影响”，但它们“通常不会构成同等程度的系统性风险”。用户仍可通过电子邮件请求对特定CVE进行丰富，但审核将视资源而定。

此外，NIST还简化了严重性评分流程。过去，即使CVE编号机构（CNA）已提供评分，NIST仍会另行给出CVSS评分。今后，NIST将不再例行提供单独评分，以减少重复劳动。对于修改后的CVE，只有发现修改对富集数据产生实质性影响时才会重新分析。

行业反应：必然之举，但影响深远

安全社区对NIST的调整并不意外。趋势科技零日计划威胁意识负责人达斯汀·柴尔兹对CyberScoop表示：“他们必须做点什么。NIST在CVE分类方面严重落后，而且很可能永远追不上。我不知道这是‘艰巨的任务’还是‘徒劳的尝试’，但无论如何，他们之前的系统注定失败。这一变化使他们能够优先处理自己的工作。”

然而，这一变化将对整个漏洞研究社区产生深远影响。更多私营公司和组织可能被迫承担起漏洞分析的角色，防御者将寻求更多替代数据源。

VulnCheck安全研究副总裁凯特琳·康登此前曾指出，优先级问题一直存在——太多防御者把时间花在不值得关注的漏洞上。根据VulnCheck的数据，去年新发布的4万多个漏洞中，仅1%（422个）在野外被实际利用。这一现实为NIST的“风险优先”策略提供了有力佐证。

长期可持续性还是能力退让？

NIST强调，此次调整旨在“实现长期可持续性”并“稳定NVD项目”。该机构表示，将投入资源开发自动化系统和工作流程改进，并在完成后公布。然而，从“分析所有CVE”到“仅分析三类”，这一转变客观上削弱了NVD作为最全面、最权威的漏洞信息来源的地位。

对于依赖NVD进行风险评估的企业和安全团队而言，他们将不得不更多依赖CNA的原始数据、第三方漏洞情报平台，或自行承担漏洞分析工作。NIST在公告中承认“这些变更将会影响我们的用户”，但坚称“这种基于风险的方法是必不可少的”。

结语

NIST的收缩并非能力衰退，而是对现实的妥协。在漏洞数量呈指数级增长的背景下，试图“穷尽一切”已不可持续。转向风险优先级管理，既是无奈之举，也是理性的战略调整。然而，这一转变能否真正提升安全防御效率，还是仅仅将负担转嫁给社区，仍有待观察。正如柴尔兹所言，之前的系统注定失败——而现在，NIST至少选择了失败中较为可控的一种方式。

参考资源

1、https://www.nist.gov/news-events/news/2026/04/nist-updates-nvd-operations-address-record-cve-growth

2、https://cyberscoop.com/nist-narrows-cve-analysis-nvd/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《从“全量覆盖”到“风险优先”：NIST收缩CVE漏洞分析范围》