2026 年 4 月 15 日,美国国家标准与技术研究院(NIST)发布重磅公告,宣布调整国家漏洞数据库(NVD)的运营策略。从即日起,NIST 将不再对所有提交的网络安全漏洞与暴露(CVE)进行自动化丰富化处理,而是转向基于风险的优先级分类机制。这一决策背后是过去五年间 CVE 提交量激增 263% 的现实压力,也标志着漏洞管理领域一个时代的终结。
政策变化的核心内容
NIST 在公告中明确指出,导致此次策略调整的直接原因是 CVE 提交量的爆发式增长。2020 年至 2025 年间,提交至 NVD 的漏洞数量增加了 263%,而 2026 年第一季度的提交量就已经比去年同期高出近三分之一。尽管 NIST 已在全力加速处理 ——2025 年全年成功丰富了近 42,000 个 CVE,同比增长 45%—— 但仍无法跟上提交量的增长速度。
新的优先级分类标准于 2026 年 4 月 15 日正式生效。NIST 明确将以下三类 CVE 列为高优先级目标,承诺在规定时间窗口内完成丰富化处理:第一类是出现在美国网络安全和基础设施安全局(CISA)已知被利用漏洞(KEV)目录中的 CVE,NIST 的目标是在这类 CVE 发布后一个工作日内完成丰富化;第二类是针对联邦政府内部使用的软件的 CVE;第三类则是符合第 14028 号行政命令定义的 “关键软件” 的 CVE。
对于不符合上述任一条件的 CVE,NIST 仍将将其收录至 NVD 数据库,但会标记为 “最低优先级 —— 未安排立即丰富化”。这意味着大量 CVE 将不再获得 CVSS 严重性评分、产品列表等关键元数据。此外,所有发布于 2026 年 3 月 1 日之前的积压 CVE 也将被统一归入 “未安排” 类别,除非该 CVE 已存在于 KEV 目录中。用户虽可主动发送邮件至 nvd@nist.gov 请求对特定 CVE 进行丰富化,但 NIST 明确表示无法保证响应时间。
安全生态的系统性影响
这一政策转变的影响将迅速传导至整个安全生态。漏洞情报公司 VulnCheck 的研究数据显示了一个令人担忧的现实:2025 年发布的 CVE 中,仅有约 32%(约 14,000 个)获得了 NIST 的丰富化处理,而仍有近 10,000 个 2025 年的漏洞缺乏 CVSS 评分。这意味着即使是 “全量丰富化” 时期,NVD 也已经存在显著的数据缺口。
VulnCheck 安全研究副总裁 Caitlin Condon 在评论中指出,NIST 的公告虽然明确了预期,但 “对于依赖 NIST 作为唯一或权威 CVE 丰富化来源的组织而言,大量漏洞现在似乎没有明确的丰富化路径”。她进一步强调,我们已经不再生活在一个可以依赖人工逐个丰富新漏洞的世界里,即使不考虑 AI 驱动的漏洞发现加速了数量增长和验证挑战,当前的威胁环境也 “明确要求采用分布式、机器速度的漏洞识别和丰富化方法”。
Contrast Security 首席信息安全官 David Lindner 的评论更为直接,他将 NIST 的决定称为 “一个时代的终结”。他指出,这一变化意味着防御者不能再依赖单一的政府管理数据库来评估安全风险,必须转向由威胁情报驱动的主动风险管理方式。现代防御者必须 “超越 CVE 总量的噪音,转而将有限资源集中在 CISA KEV 列表和可利用性指标上”。
企业漏洞管理策略的重构路径
面对这一结构性变化,企业需要系统性地重构漏洞管理流程。首先是重新定义数据源策略。鉴于 NVD 不再是完整的 CVE 丰富化数据源,企业必须建立多层次的漏洞情报采集体系。KEV 目录应成为漏洞优先级决策的核心依据,因为这类漏洞已确认在野被利用,优先级最高。同时,与软件供应商的安全公告、主动式漏洞扫描结果、内部渗透测试发现等渠道的整合变得不可或缺。
其次是评估体系的范式转换。传统的漏洞管理往往依赖 CVSS 基础分数进行优先级排序,但在 NVD 丰富化覆盖不完整的背景下,这种方法的适用性正在衰减。企业需要建立基于可利用性(exploitability)的评估框架,纳入漏洞是否存在于 KEV 目录、是否有公开的利用代码(PoC)、是否影响暴露在互联网面的系统等实际风险指标。Gartner 提出的漏洞管理优先化模型 —— 将可利用性、可达性和业务影响三者结合 —— 在这种环境下更具操作价值。
第三是自动化能力的强化。NIST 在公告中提到正在开发自动化系统和流程改进以实现长期可持续运营,这本身就是一个信号:漏洞管理的未来在于自动化。企业应当投资于能够自动聚合多源漏洞情报、自动关联资产信息、自动生成修复建议的平台,而非依赖人工维护的静态漏洞清单。这种转变不仅是为了应对 NVD 政策变化,也是应对漏洞数量持续增长的根本策略。
最后是资产可见性的提升。当无法再简单依赖 NVD 的标准化丰富化数据时,企业对自身资产的精确掌握就变得更为关键。准确的资产清单使组织能够判断特定 CVE 是否影响自身环境,从而在信息不完整的情况下仍能做出合理的安全决策。资产发现与持续监控能力将从 “锦上添花” 变为漏洞管理的必备基础设施。
长期趋势与行业演进
NIST 的这一决策并非孤例,而是反映了全球漏洞管理领域的结构性转型。日本 JPND、欧洲 NVD 等区域漏洞数据库同样面临类似的处理能力瓶颈。开源社区和商业情报供应商正在填补 NIST 留下的空白,这可能催生一个新的漏洞情报服务市场。关键软件供应链的安全评估也将因为数据源的重新分布而改变 —— 企业可能需要更多地依赖软件物料清单(SBOM)和软件安全供应商的主动披露。
从积极角度看,这一转变可能推动整个行业走向更成熟的风险管理实践。正如 Lindner 所言,虽然这种过渡可能扰乱传统的审计工作流程,但最终将 “推动行业成熟,要求我们将实际暴露置于理论严重性之上”。依赖经过筛选的可操作数据子集,比维护一个庞大但无法管理的完整漏洞归档更为有效。当我们不为自己设定优先级时,攻击者会为我们设定。
资料来源:NIST 官方公告(2026 年 4 月 15 日)、The Hacker News 报道(2026 年 4 月)