NIST 将因数量增加而停止评估非优先缺陷

Source: Bleeping Computer

概览

美国国家标准与技术研究院（NIST）将停止对低优先级漏洞分配严重性评分，因为提交量的增加导致工作负荷不断上升。自 4 月 15 日起，该服务仅会分析并提供额外细节（例如严重性评级、产品列表），针对符合其风险相关特定标准的安全问题。

国家漏洞数据库（NVD）仍会列出所有提交的漏洞，但被视为低优先级的漏洞仅会保留由评估并提交它们的 CVE 编号授权机构（CNA）提供的严重性评级。

新的 NVD 政策

本周的公告中，这一非监管性联邦机构表示，仅会为符合以下 任意一项 标准的漏洞提供额外细节：

• 列入 CISA 的已知被利用漏洞（KEV）目录
• 影响美国联邦政府软件
• 涉及《行政命令 14028》定义的关键软件

变更原因

NIST 解释说，此决定是受大量提交推动的，近期提交量增长了 263 %，且在 2026 年仍在加速。该组织在 2025 年对 42,000 条 CVE 进行了丰富，但已无法跟上不断增长的工作量。

NVD 的角色

NIST NVD 是一个公开的、集中式的已知软件和硬件漏洞数据库。它在由 CNA（如厂商和非营利组织 MITRE）分配的唯一标识符（CVE ID）之上提供额外的描述和分析。

对漏洞细节进行丰富，使 CVE 条目可用于风险管理，包括：

• 分配严重性评分
• 确定受影响的产品版本
• 对弱点进行分类
• 提供指向通告、补丁或相关研究的链接

NVD 被安全研究人员、软件厂商、政府机构、IT 专业人士、记者以及普通用户普遍使用，以获取特定安全问题的更多信息。

“所有提交的 CVE 仍会被添加到 NVD 中。然而，那些不符合上述标准的将被归类为 ‘未计划’，”NIST 解释道。
“这将使我们能够专注于具有最大潜在广泛影响的 CVE。虽然不符合这些标准的 CVE 可能对受影响系统产生重大影响，但它们通常不具备与优先类别中漏洞相同的系统性风险水平。”
Source

处理低优先级 CVE

NIST 承认，新规则可能会让一些潜在高影响的 CVE 被遗漏。为此，该机构接受对 任何最低优先级 CVE 的丰富请求，邮件地址为 nvd@nist.gov。