CVE披露数量激增，NIST被迫调整漏洞数据库工作流程

美国国家标准与技术研究院（NIST）正在对国家漏洞数据库（NVD）中常见漏洞与暴露（CVE）的处理方式进行重大调整，以应对快速变化的威胁环境。

过去，NVD项目的目标是对所有收录的CVE进行分析，补充严重性评分和受影响产品列表等详细信息，帮助网络安全团队对相关漏洞进行优先级排序和处置。NIST将这一过程称为"漏洞信息增强"。

然而，今后NIST将只对符合预定标准的CVE进行信息增强处理。不满足该标准的漏洞仍会被收录，但会被标记为低优先级问题。

NIST在声明中表示："此次调整源于CVE提交数量的激增——2020年至2025年间增幅高达263%。我们预计这一趋势短期内不会放缓。2026年前三个月的提交量比去年同期高出近三分之一。"

NIST同时表示："我们正以前所未有的速度开展工作。2025年共完成近42,000条CVE的信息增强，比历史最高年份多出45%。但即便效率大幅提升，仍难以跟上提交量的增长步伐。因此，我们决定采用新的处理方式。"

NIST希望通过这些调整稳定项目运转，争取时间以开发新的自动化系统和工作流程优化方案。

优先处理标准

新标准已于2025年4月15日（周三）正式生效，以下CVE将获得优先处理：

被美国网络安全和基础设施安全局（CISA）纳入已知可利用漏洞（KEV）目录的CVE；

存在于美国政府使用软件中的CVE；

根据拜登总统2021年10月颁布的第14028号行政令所定义的关键软件中的CVE。

NIST表示："这将使我们能够集中精力处理那些最有可能产生广泛影响的CVE。不符合上述标准的CVE虽然对受影响系统可能造成显著影响，但通常不具备优先类别漏洞所呈现的系统性风险。"

NIST也承认新标准可能遗漏某些潜在高危漏洞，因此用户可以申请对低优先级CVE进行复查和信息增强。

与此同时，NIST将不再为CVE编号颁发机构（如微软等提交方）已自行评分的CVE单独提供严重性评分，旨在减少重复劳动、更合理地分配资源，但用户仍可就特定CVE申请复查。

此外，NIST还将调整对信息增强后被修改的CVE的重新分析机制。此前，所有被修改的漏洞均会重新分析；今后，只有当NIST发现某项修改实质性影响其信息增强数据时，才会启动重新分析。同样，相关申请复查机制也将同步建立。

积压问题的处理

针对两年前开始积累的大量未完成信息增强的CVE，NIST表示目前无法完成清理工作，因此NVD发布日期在2026年3月1日之前的所有积压CVE将被归入"暂不计划处理"类别。这些CVE若符合新的优先级标准，仍将被纳入信息增强处理范围。

此外，NIST还将更新CVE状态标签与描述，并对NVD控制面板进行相应调整，以准确反映上述变化。

NIST表示，其意识到此次调整力度较大，将对日常用户产生影响，但强调采用基于风险的方式是应对提交量激增的必要举措，同时也为构建新系统争取时间，确保未来服务的可持续性。

Suzu Labs首席技术官达尼斯·卡尔德罗内表示，NIST此举可能是正确的决策。

"鉴于CVE新增提交量的规模，此次全面改革无疑是必要且几乎不可避免的。我们认为，AI辅助漏洞发现很可能已在推高这一数字。毕竟，微软刚刚经历了史上第二大规模的补丁星期二，就连ZDI也表示，受AI工具影响，他们收到的漏洞提交量已增至三倍，"卡尔德罗内说。

"我们很高兴看到NIST将KEV目录设为最高优先级，这是正确的决策，也是我们为客户一直采用的方式，看到它成为官方模型令我们倍感欣慰。"

然而，卡尔德罗内也指出了NIST新方法中存在的一些不足，尤其是当提交方已完成评分时不再进行独立评分这一做法。

"这听起来很高效，但问题在于提交方往往就是厂商，而厂商未必能准确评估自己的漏洞，"他说，"F5的案例就是前车之鉴。一个BIG-IP漏洞被评为8.7分（高危）的拒绝服务问题，在五个月后才被重新分类为9.8分的远程代码执行漏洞。对于依赖CVSS评分来确定补丁优先级的企业而言，这一错误分类意味着真正的风险在错误的队列中停留了五个月，而攻击者早已在积极利用该漏洞。"

"此外，NIST此次仅解决了处理量的问题，却未触及评分方法本身。CVSS仍然是孤立地评估单个漏洞，无法模拟漏洞的可组合性——即攻击者将一个中等严重度的信息泄露漏洞与一个中等严重度的权限提升漏洞组合利用，从而造成严重影响的情形。单独来看，两个漏洞都不紧急，但组合起来却能实现对系统的完全入侵。"

卡尔德罗内认为，对于长期依赖NVD作为漏洞情报主要来源的安全管理者而言，是时候构建自己的优先级评估体系了。该体系可整合CISA的KEV目录、漏洞利用预测评分系统（EPSS）数据，以及企业自身的环境上下文信息。

"等待NIST告诉你什么最重要的时代已经结束了，"他表示。

Q&A

Q1：NIST为什么要调整NVD的CVE处理方式？

A：主要原因是CVE提交数量激增。2020年至2025年间增幅高达263%，2026年前三个月的提交量又比去年同期高出近三分之一。尽管NIST在2025年完成了近42,000条CVE的信息增强，比历史最高年份多45%，但仍无法跟上增长速度，因此不得不转向基于风险的优先级处理方式。

Q2：NIST新的CVE优先处理标准包括哪些内容？

A：根据2025年4月15日生效的新标准，优先处理的CVE包括三类：一是被CISA纳入已知可利用漏洞（KEV）目录的漏洞；二是存在于美国政府使用软件中的漏洞；三是符合拜登总统第14028号行政令定义的关键软件中的漏洞。不符合标准的CVE仍会收录，但标记为低优先级，用户可申请复查。

Q3：业界对NIST新方法有哪些批评意见？

A：Suzu Labs首席技术官卡尔德罗内指出两大不足：一是NIST不再对厂商已评分的CVE进行独立评分，但厂商评分可能存在偏差，F5 BIG-IP漏洞被低估五个月的案例就是例证；二是CVSS评分方法本身未做改进，仍无法评估多个中低危漏洞组合利用后可能造成的严重后果。他建议安全团队建立自己的漏洞优先级评估体系。