NIST突然宣布,漏洞太多,处理不过来了

admin
admin
admin
0
文章
0
评论
2026-04-21 01:31:00 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: NIST因漏洞数量激增(2020-2025年增长263%,2026年Q1再增33%)宣布调整NVD运营模式,放弃运行26年的全量分析机制。自2026年4月15日起仅优先处理三类漏洞:已被利用漏洞、美国政府使用软件漏洞及关键基础设施相关漏洞,其余漏洞标记为最低优先级。历史积压的超过3万条CVE若未在3月1日前处理则需单独申请分析。此变化迫使企业需自行评估非优先漏洞风险,凸显全球漏洞管理体系的可持续性危机。 综合评分: 85 文章分类: 漏洞预警,政策法规,安全运营,解决方案,漏洞分析

cover_image

NIST突然宣布,漏洞太多,处理不过来了

原创

玄月调查小组 玄月调查小组

玄月调查小组

2026年4月19日 14:04 上海

在小说阅读器读本章

去阅读

漏洞数量5年间暴涨263%。

2026年Q1同比再涨33%。

2025年处理42000条CVE,创历史新高。

过去,NIST 的 NVD 项目分析所有 CVE 添加详细信息——例如严重性评分和受影响产品列表——这些信息能帮助安全团队确定漏洞处理的优先级并实施缓解措施。

然而就在这周,美国国家标准与技术研究院(NIST)正式官宣。

全球最大、最权威的网络安全漏洞数据库NVD。放弃运行26年的全量分析模式,不再分析所有CVE。

很明显,这不是一次小变化。

漏洞数量暴涨,压垮了NVD

从2020到2025年,全球CVE漏洞提交量暴涨了263%。 这个数字有多恐怖? 相当于每2年,漏洞数量就翻一番。

随着AI在安全领域的发力,2026年第一季度,这个数字又同比上涨了33%。

漏洞数量,没有任何放缓的迹象。

NIST已经拼尽全力了。 2025年,他们一共处理了近42000条CVE漏洞。但即便如此,积压的漏洞还是像滚雪球一样越滚越大。

目前积压未处理的 CVE 总量已超过 3 万条

NIST只保关键软件,其余全部放弃

从4月15日起,NIST只给三类漏洞提供官方分析和评分:

  • 第一类,已经被黑客实际利用的漏洞(CISA KEV)。
  • 第二类,美国政府使用的软件漏洞。
  • 第三类,行政令14028定义的关键基础设施软件漏洞

只有这三类漏洞,NIST会优先完成分析。

剩下的所有漏洞,全部被打上”最低优先级”标签。 NIST不会主动给它们加任何细节。

你没看错,就是不管了。

历史积压漏洞,直接打入”冷宫”

更狠的是对历史积压的处理。

所有在2026年3月1日之前提交、还没被分析的漏洞。

NIST直接把它们全部划入”不计划处理”类别。

除非你发邮件专门申请。 否则这些漏洞永远不会有官方数据。

而去年被标记为”延期处理”的所有漏洞。 也会在2周内,批量转为”修改后不再分析”状态。 未来将根据资源情况,进行信息富化。

漏洞管理,一夜回到解放前

NVD是什么?它是全球网络安全的”通用货币”。

几乎所有的安全产品:漏扫、IDS、WAF、威胁情报。

都以NVD的数据为标准。

CVE就是每个漏洞的唯一身份证号。

而NVD就是给这些身份证号盖章、写备注的官方机构。

这套机制已经运行了20多年。

以前,只要有新漏洞出现。

NIST会在几天内给出评分和影响范围。

企业只要照着NVD的优先级打补丁就行。

现在,对于99%的普通企业来说,如果没有用到那三类软件,以后面对海量漏洞。

要么自己分析。

要么就只能赌运气,赌这个漏洞危害不高。

攻击者不会利用。

NIST的无奈,也是全球互联网的安全危机

NIST不是不想管。是真的管不动了。

漏洞数量的增长速度。已经远远超过了NIST的极限。

 First预计今年将提交5万多个 CVE

FIRST CEO Chris Gibson表示:“漏洞发现和利用的速度之快,是我们前所未见的。”

NIST自己也承认。全量分析模式已经完全不可持续。

他们现在只能先保住最核心的部分。然后慢慢开发自动化工具,利用AI来提升效率。

但什么时候能上线?没人知道。

以上,既然看到这里了,如果觉得不错,随手点个赞、在看、转发三连吧,如果想第一时间收到推送,也可以给我个星标⭐~谢谢你看我的文章,我们,下次再见。

参考资料: NIST Updates NVD Operations to Address Record CVE Growth https://www.nist.gov/news-events/news/2026/04/nist-updates-nvd-operations-address-record-cve-growth

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:玄月调查小组 玄月调查小组 玄月调查小组《NIST突然宣布,漏洞太多,处理不过来了》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0