2026 年 4 月 15 日,美国国家标准与技术研究院(NIST)发布重大政策更新,宣布对国家漏洞数据库(NVD)的运营模式进行根本性调整。从即日起,NIST 将不再对所有提交到 CVE 系统的漏洞进行自动 enrich(即补充严重性评分、产品列表等详细元数据),而是转向风险分级处理模式,优先保障已知被利用漏洞(KEV)、联邦政府使用软件以及关键软件相关的 CVE。这一变化看似是运营层面的优化调整,实则揭示了当前漏洞数据库生态面临的系统性挑战,并对整个安全工具链和安全运营实践产生深远影响。
背景:CVE 提交量爆发带来的不可持续困境
理解此次改革需要首先认识到 NVD 所面临的量化压力。根据 NIST 官方公告,CVE 提交量在 2020 年至 2025 年间增长了 263%,这一数字背后是全球网络安全漏洞发现和披露活动的急剧加速。更值得关注的是,2026 年第一季度的提交量已经比去年同期高出近三分之一,按此趋势发展,2026 年全年的 CVE 提交数量将再创历史新高。漏洞披露已从过去相对可控的涓涓细流演变为如今的洪峰态势,传统的人工或半自动化处理模式显然无法跟上这一增速。
NIST 方面表示,2025 年其团队共 enrich 了近 42,000 个 CVE,这一数字比历史上任何年份都高出 45%,已经是其处理能力的极限。然而,即便如此勤奋,积压的 unenriched CVE 仍在持续扩大。2024 年初形成的 backlog 在 2026 年 3 月前已积累至相当规模,而新提交的 CVE 还在不断涌入。NIST 在公告中坦率承认,旧的 “全覆盖” 模式已经不可持续,必须进行根本性改革以确保 NVD 项目的长期可行性。
新政核心:风险分级与优先级队列
NIST 此次公布的新的处理策略可以概括为 “以风险为导向的分级处理”。具体而言,自 2026 年 4 月 15 日起,NVD 将按照以下优先级顺序对 CVE 进行 enrich 处理:
第一优先级是纳入 CISA 已知被利用漏洞(KEV)目录的 CVE。KEV 目录收录的是已经被证实存在在野利用的漏洞,对这些漏洞的快速响应直接关系到关键基础设施和政府系统的安全。NIST 承诺将在收到 KEV 目录更新后的一个工作日内完成 enrich,这是一个极具挑战性但对防御方至关重要的目标。
第二优先级是涉及联邦政府内部使用软件的 CVE。联邦政府作为美国关键基础设施的运营主体,其信息系统面临的网络威胁密度远超一般企业,优先处理这类 CVE 有助于保障政府系统的安全基线。
第三优先级是符合第 14028 号行政命令定义的 “关键软件” 的 CVE。这一定义涵盖了操作系统、数据库、容器编排工具、身份认证系统等对现代计算基础设施至关重要的软件品类,针对这些软件的漏洞往往具有广泛的系统性影响。
除了上述三类优先 CVE 外,所有其他提交到 NVD 的 CVE 仍将保留在数据库中,但将被标记为 “Not Scheduled”(未排程),意味着不会得到 NIST 的自动 enrich 处理。此外,NIST 还宣布不再惯例性地为已由 CVE 编号机构(CNA)提供严重性评分的 CVE 额外生成独立评分,这一调整旨在减少重复工作。对于已被 enrich 但后续发生修改的 CVE,NIST 也不再全面重新分析,而是仅在修改 “实质性地影响” enrich 数据时才介入处理。
对漏洞数据库生态的深远影响
NIST 的此次转向对整个漏洞数据库生态具有标志性意义。长期以来,NVD 被全球安全社区视为 CVE 数据的权威来源和事实标准,其 enrich 数据 —— 特别是 CVSS 严重性评分、影响产品列表、参考链接等 —— 被广泛集成到漏洞扫描器、SIEM 系统、风险评估平台和自动化修复工作流中。NVD 的 “全覆盖” 承诺使得安全工具开发者可以假设:如果一个 CVE 存在于数据库中,那么它最终会获得完整的元数据。
这一假设在新的运营模式下不再成立。当大量 CVE 被标记为 “Not Scheduled” 后,NVD 将从过去 “一站式” 完整数据源转变为 “部分覆盖” 的优先级数据源。这意味着安全工具需要重新设计其数据依赖逻辑,不能再将 NVD 的完整程度视为理所当然。对于依赖 NVD 数据进行自动优先级排序或漏洞修复推荐的组织而言,数据缺失将成为一个必须正视的现实问题。
从积极的视角看,这一调整为 NVD 争取了至关重要的资源缓冲。专注于最高风险的 CVE 可以确保有限的分析能力被投入到最关键的领域,避免在大量低影响或仅影响非关键系统的漏洞上消耗精力。对于已经被 KEV 收录的漏洞,快速 enrich 意味着防御者可以更快地获得可操作的上下文信息,从而缩短从漏洞披露到修复部署的窗口期。
对安全工具链的冲击与适应
任何依赖 NVD enrich 数据的工具供应商都需要重新评估其产品架构。传统的漏洞管理平台通常会将 NVD 作为单一数据源,假设所有 CVE 都包含完整的 CVSS 评分、产品映射和描述信息。当这些假设被打破后,可能出现几类问题:部分 CVE 缺少严重性评分导致风险排序失准;产品列表不完整导致漏洞匹配遗漏;参考链接缺失影响研判效率。
行业专家建议安全工具提供商应采取多数据源策略来应对这一变化。可行的替代或补充来源包括:厂商自身的安全公告(软件供应商在其官方网站发布的安全通告通常包含最准确的产品版本和修复信息)、CISA KEV 目录(已被验证的在野利用漏洞的权威清单)、商业威胁情报源(如 Recorded Future、Mandiant、Qualys 等提供的漏洞情报服务)、以及开源社区维护的漏洞数据库(如 GitHub Advisory Database)。通过聚合多个来源的数据,可以在 NVD 数据不完整的情况下仍保持漏洞评估的准确性。
对于企业内部使用的漏洞管理流程而言,此次变化同样提出了挑战。安全团队需要重新审视其漏洞优先级逻辑,不能完全依赖 NVD 的 CVSS 评分作为唯一的排序依据。一个可行的策略是:首先关注 KEV 目录中的漏洞(这些通常需要最紧急的响应),然后结合内部资产清单,识别哪些漏洞影响关键业务系统或敏感数据,最后综合厂商公告和内部风险评估结果来确定修复优先级。
组织层面的应对策略
面对 NVD 运营模式的变化,安全组织需要在以下几个维度上调整其漏洞管理实践:
首先是强化多源情报整合能力。建议组织建立流程化的漏洞情报聚合机制,定期从 NVD、CISA KEV、厂商安全公告、开源威胁情报等多渠道收集漏洞信息,并建立统一的知识库以支撑风险决策。这种多源验证不仅能弥补 NVD 数据缺失的问题,还能提高漏洞评估的整体准确性,因为不同来源的信息可以相互印证或发现单一来源可能遗漏的细节。
其次是建立基于业务上下文的优先级框架。CVSS 评分虽然是行业通用的漏洞严重性度量,但它本质上是技术维度的评估,无法直接反映漏洞对特定组织业务的影响程度。一个拥有数百个互联网暴露系统的组织与一个仅需管理少量内部应用的组织,其漏洞修复优先级的逻辑必然不同。组织应根据自身资产重要性、业务关键性和暴露面大小,建立自有的漏洞优先级评分模型,将 NVD 数据作为输入之一而非唯一依据。
第三是重新审视自动化修复工作流的可靠性。对于已经实现自动化漏洞修复(通过补丁管理、配置管理或虚拟补丁等技术)的组织,需要确认其自动化流程能够妥善处理 NVD 数据不完整的情况。自动化决策应避免在缺少关键元数据时仍然执行高风险操作,如自动向生产系统推送补丁。增加人工审核环节或在自动化流程中设置更保守的默认值,是降低风险的有效做法。
最后是关注长期趋势并参与社区对话。NIST 在公告中表示正在开发自动化系统和增强工作流,以实现长期的可持续运营。这意味着当前的 “风险分级” 模式可能是一个过渡性安排,未来 NVD 可能会以更智能的自动化方式回归更完整的覆盖范围。安全社区应保持对 NVD 演进的关注,并通过官方提供的反馈渠道(nvd at nist.gov)表达需求和关切。组织也可以考虑参与行业联盟或标准制定工作,推动漏洞元数据格式和交换协议的进一步标准化,从而降低对单一数据源的依赖度。
结语
NIST 对 NVD 运营模式的调整是漏洞数据库生态在海量数据压力下的一次主动进化。风险分级处理虽然意味着 NVD 不再是那个 “全覆盖” 的漏洞百科全书,但它在优先级领域的聚焦有望为最关键的防御场景提供更快、更有价值的信息。对于整个安全行业而言,这既是一个适应新现实的挑战,也是一个重新审视数据依赖、设计更具韧性工具链的契机。在漏洞披露速度持续加快的时代,构建多源、冗余、智能的漏洞情报能力,将成为安全组织不可或缺的核心竞争力。