文章总结： 美国国家标准与技术研究院（NIST）宣布对其国家漏洞数据库（NVD）的处理机制进行重大改革，放弃对每个CVE的全面分析，转而采用基于风险的分级评估模型。新政策优先处理被列入CISA已知已利用漏洞目录、影响政府软件或关键软件的漏洞，目标是在收到KEV目录条目后一个工作日内完成分析。其余CVE将被标记为未计划分析状态，NIST同时着手清理积压漏洞。专家指出该政策具有合理性，并建议企业采用多元化数据源和主动防护措施。 综合评分： 85 文章分类： 政策法规,漏洞分析,安全运营,威胁情报,漏洞预警

NIST放弃全面分析CVE，转向优先处理高危漏洞

FreeBuf

2026年4月20日 18:04 上海

在小说阅读器读本章

去阅读

#

美国国家标准与技术研究院（NIST）宣布对其国家漏洞数据库（NVD）的网络安全漏洞处理机制进行全面改革，放弃对每个提交的通用漏洞披露（CVE）进行全面分析的长期目标，转而采用基于风险的分级评估模型，优先处理最危险的漏洞。

此项改革自今日起生效，主要源于NIST接收的CVE提交量激增。2020至2025年间，CVE提交量增长263%，今年第一季度提交量同比增幅近三分之一。2025年NIST共处理约42,000个CVE，同比增长45%，但处理速度仍无法跟上提交量的增长。新模式下，NIST将仅对符合以下三项标准之一的CVE进行完整分析：

• 被列入美国网络安全和基础设施安全局（CISA）已知已利用漏洞（KEV）目录的漏洞
• 影响联邦政府使用软件的CVE
• 根据14028号行政命令被归类为关键软件的CVE

在新机制下，NIST目标是在收到KEV目录条目后一个工作日内完成分析。其他已报告的CVE仍会保留在NVD中，但将被标记为”未计划分析”状态，意味着NIST不会自动添加安全团队用于补丁优先级判定的严重性评分和产品数据。

NIST同时着手清理自2024年初积压的漏洞。所有在2026年3月1日前发布且未完成分析的CVE将被移入”未计划分析”类别，仅在有资源时才会考虑处理（KEV目录中的CVE除外）。

新模型还包含两项流程变更：当CVE编号机构（CNA）已提供严重性评分时，NIST不再重复评估；对于修改后的CVE，仅当变更实质影响分析数据时才会重新评估，而非每次更新都自动重新分析。

身份威胁检测与响应提供商SlashID公司CEO兼联合创始人Vincenzo Iozzo指出，人工智能是推动CVE提交量激增的关键因素之一：”AI报告的有效漏洞数量急剧上升，仅去年报告量就翻倍有余。NIST的新政策具有合理性，其保留分析的类别正是最关键的漏洞类型。”

网络安全解决方案公司RunSafe Security首席技术官Shane Fry认为：”该公告向行业释放信号——等待CVE评分再采取行动的时代已经终结。漏洞可见性本不完美，采用多元化漏洞数据源的企业将获得更可靠的漏洞洞察。更重要的是，企业应假设软件中已存在未知漏洞，并部署能在补丁或CVE评分发布前阻断攻击的防护措施。”

参考来源：

NIST shifts National Vulnerability Database to risk-based triage as CVE submissions hit record levels

https://siliconangle.com/2026/04/15/nist-shifts-national-vulnerability-database-risk-based-triage-cve-submissions-hit-record-levels/

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《NIST放弃全面分析CVE，转向优先处理高危漏洞》