NIST 重构国家漏洞数据库，优先处理高风险 CVE

执行摘要

国家标准与技术研究院（NIST）宣布对国家漏洞数据库（NVD）的运作进行根本性转变，声明将不再对所有CVE编号漏洞进行全面分析和丰富。根据NIST的说法，该机构现在将只优先对最高风险CVE进行丰富——即为添加关键元数据，如通用平台枚举（CPE）名称、严重性评分和影响描述的过程。这一政策变化是由2020年至2025年间CVE提交量增加263%所驱动的，有效地承认NVD无法跟上披露漏洞的数量，并将使CVE目录的大部分没有其标准化分析。

技术分析

NVD丰富过程是网络安全生态系统的一个关键功能，将CVE计划中的原始CVE标识符转换为可操作的、机器可读的数据。这包括将漏洞映射到特定软件版本（通过CPE），分配通用漏洞评分系统（CVSS）分数，并提供标准化描述。在新的模型下，NIST将实施基于风险的过滤机制，选择哪些CVE接收这种资源密集型丰富。“最高风险”的确切标准在最初的公告中没有详细说明，为供应商和研究人员创造了不确定性。未处理CVE的积压，已经困扰NVD一年多，是提交激增的直接结果，NIST将其归因于更广泛的漏洞披露计划和自动化工具。这一举措标志着从NVD作为所有CVE的全面、权威来源向为最严重威胁提供策划提要的过渡，将分析低优先级漏洞的负担推给下游消费者，包括漏洞扫描器、安全编排平台和企业风险管理工具。

入侵指标

目前没有识别出任何入侵指标。

战术、技术与程序

目前没有识别出任何战术、技术与程序。

威胁行为者背景

这不是一个威胁行为者活动。这一变化是美国联邦机构对资源限制和数据量压倒性增加的响应所做出的运营决策。然而，政策转变可能间接有利于威胁行为者，通过增加防御者评估未获得NIST丰富漏洞的相关性和严重性所需的时间和努力，可能延迟对较少宣传的漏洞的补丁。

缓解措施与建议

安全团队和工具供应商必须为NVD不再是漏洞元数据的完整来源做好准备。缓解措施包括：

• **多样化数据源：**整合来自商业供应商、开源项目和软件出版商的额外漏洞情报提要，以填补NVD留下的空白。
• **增强内部流程：**开发或加强不完全依赖NVD丰富进行优先级的内部漏洞分类能力。
• **自动化CPE映射：**投资于能够在官方CPE数据缺失时自动将CVE描述映射到受影响产品和版本的工具。
• **与供应商合作：**向软件供应商施压，要求他们直接提供清晰、机器可读的安全咨询和CPE信息，减少对NIST作为中介的依赖。
• **监控标准：**密切关注NIST发布的基于风险的丰富标准，以了解哪些漏洞类别将被覆盖。