文章总结： NIST宣布调整NVD运营策略，仅对CISAKEV目录、美国政府软件等特定CVE进行详细分析，其他漏洞列为最低优先级不予分析。这导致企业面临CVSS评分缺失和漏洞影响范围不明确的双重挑战。文章建议企业构建多源情报体系、采用威胁驱动评估、实现资产漏洞自动匹配，并建立国产化组件独立监测渠道。 综合评分： 78 文章分类： 漏洞分析,威胁情报,安全运营,漏洞预警,解决方案

NVD“撑不住”了：以后NVD的漏洞该咋运营

微步在线

2026年4月27日 08:31 北京

在小说阅读器读本章

去阅读

CVE又有大变动。面对严重积压的漏洞队列，NIST（美国国家标准与技术研究院）近期宣布调整NVD（美国国家漏洞数据库）运营策略：只针对特定CVE进行详细分析（enrichment），“最低优先级漏洞”不计划立即进行详细分析。

从”应编尽编”到”选择性分析”

NVD的核心使命是为每个CVE提供”补充信息”数据，包括CVSS基础评分、影响产品列表（供应商、产品、版本）、修复建议（补丁版本）、漏洞缺陷类型（CWE）、参考链接等详细信息。这套体系可以让安全团队用统一语言描述风险，然后基于CVSS评分建立修补策略。

由于CVE的暴增，为了专注于最关键的CVE，及CVE详细分析项目长期可持续，NIST选择优先对CISA KEV（已被利用漏洞）目录中的漏洞、美国联邦政府使用的软件，以及EO 14028定义的”关键软件”的CVE进行详细分析。虽然所有提交的CVE仍会被添加到NVD，但不符合上述标准的漏洞将被归类为“最低优先级”，而不进行详细分析。

具体而言，标记为”最低优先级”的漏洞，不评分、不详细分析、放入积压队列；如果CNA（CVE编号机构）已提供严重等级分数，NVD不再额外提供重复评分；修改后的CVE仅在有”实质性影响”时才复审，不再无条件复审。更重要的是，所有NVD发布日期在2026年3月1日前的积压CVE移至“无计划”类别，这些漏洞在NVD上可能永远不会被详细分析。

中国企业面临的”双重暴击”

这次NIST的策略调整，对于中国企业的影响远比想象中复杂。中国企业IT环境中，长尾中间件、行业定制软件、国产化组件、IoT设备和OT设备比比皆是。这些”非标资产”恰恰是NIST优先级队列中最容易被忽略的存在。当官方漏洞库不能对这些软件漏洞提供及时分析，企业漏洞运营必然存在这两个关键问题：

第一，CVSS评分不够用了。 NIST的筛选标准聚焦于已被利用的（KEV）、美国联邦政府使用的、EO14028定义的关键软件，这意味着大量非关键但”对企业业务关键”的软件被忽视。它们不再有CVSS评分，不再有”官方”影响列表。企业需要自行判断风险，而攻击者可能会优先盯上这些”低优先级”目标。

第二，漏洞影响范围缺失。过去，NVD的承诺是”每个CVE都会被详细分析”——包括影响的产品版本、CVSS评分、CWE分类、参考链接等详细信息。这些信息是企业判断漏洞优先级、排查资产影响的关键依据。但随着NIST策略的调整，大量普通CVE变成了”有编号无详情”的空壳，将直接影响企业的日常安全运营。

给CISO的四个关键防护建议

1、放弃”单源依赖”，构建多源漏洞情报体系

NVD不再是”全能选手”，企业需要同时关注厂商公告、商业漏洞库等多信息源。更重要的是，建立一套能够整合这些来源、自动去重补全的情报平台，避免漏报误报。

2、 CVSS不够用，转向”威胁驱动”的优先级评估

仅看技术评分已无法判断真实风险。建议采用VPT（漏洞优先级威胁评估）方法，将漏洞利用情报、PoC情况、威胁情报等纳入考量。例如，微步VPT结合多维度数据，95%以上的漏洞告警可忽略或降低优先级，能大幅提升运营效率。

3、漏洞影响范围缺失，用”资产-漏洞自动匹配”填补空白

当NVD不再提供完整的产品版本信息，企业需要其他方式确认”哪些资产受影响”。微步通过安全大模型实现漏洞与资产的自动匹配，漏洞覆盖度超三大官方库20%以上，且10%以上的漏洞早于官方库80-200天发现。企业只需录入资产，系统即可自动关联相关漏洞并告警。

4、建立国产化组件的独立情报渠道

NIST优先级聚焦美国联邦软件，国产化组件、行业软件天然处于”盲区”。建议企业主动对接国内漏洞情报源，针对核心业务系统建立专项监测机制，避免”官方库不管、自己不知道”的风险敞口。

参考链接：

https://www.nist.gov/news-events/news/2026/04/nist-updates-nvd-operations-address-record-cve-growth

联系微步↓↓

END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：微步在线 《NVD“撑不住”了：以后NVD的漏洞该咋运营》