NIST 宣布调整国家漏洞数据库(NVD)对 CVE 的处理流程,将优先分析关键漏洞以应对 CVE 提交量快速增长。NIST 指出 2025 年 CVE 提交较 2020 年增长 263%,约 42,000 条,比以往任何一年多 45%;2026 年第一季度提交量又同比增长近 1/3,且自 2024 年初已出现大量未完善的 CVE 积压。新策略优先处理列入 CISA 已知被利用漏洞目录的 CVE、美国联邦政府内部使用的软件相关 CVE 及根据行政命令 14028 定义的关键软件 CVE,其他提交被置为最低优先级,且 NIST 不再主动为所有 CVE 提交单独提供严重性评分。
4 月 21 日消息,美国国家标准与技术研究院 (NIST) 当地时间本月 15 日宣布,将对现有国家漏洞数据库 (NVD) 处理公共漏洞和暴露 (CVE) 的工作流程进行调整,把精力优先放在关键漏洞上,以应对 CVE 提交近来快速增长的事实。
图源:Pexels
NIST 表示,2025 年的 CVE 漏洞提交数量相较 2020 年增长了 263%;其 2025 年丰富的 CVE 提交数量接近 42000 个,比 以往任何一年都多了 45%。而这一增长势头还将持续:2026Q1 的提交量又同比增长了近 1/3。NIST 从 2024 年初开始就积压了大量未完善的 CVE。
为此,NIST 现在将优先关注出现在 CISA 已知被利用漏洞目录中的 CVE、美国联邦政府内部使用的软件 CVE、根据美国行政命令 14028 定义的关键软件 CVE,上述三类以外的提交 则会被放置到“最低优先级”。NIST 也将不再主动为所有 CVE 提交单独提供自己的严重性评分。