美國國家標準暨技術研究院(NIST)週三(4/15)宣布,因應CVE(Common Vulnerabilities and Exposures,通用漏洞揭露)數量在2020年至2025年間暴增263%,將調整其國家漏洞資料庫(National Vulnerability Database,NVD)的運作模式,不再對所有漏洞進行完整分析與評分,改採風險優先機制,僅針對已被利用或關鍵系統相關漏洞進行加值處理,且即日起生效。
NVD是以CVE為基礎的公開資安資料庫,長期負責為已揭露漏洞補充結構化資訊,包括CVSS(Common Vulnerability Scoring System,通用漏洞評分系統)嚴重性分數、受影響產品(CPE)及弱點分類(CWE),並提供更完整的技術描述,協助企業進行風險評估與修補優先排序,被廣泛視為全球漏洞管理與資安工具的重要依據。
NIST表示,此次調整主因在於CVE數量快速成長已超出處理能力,2020年至2025年間漏洞數量暴增263%,2025年新增約4.8萬筆CVE,比前一年多出45%,且即便去年已完成約4.2萬筆漏洞分析,仍無法跟上新增速度;而2026年前三個月提交量亦比去年同期再增加約三分之一,導致NVD持續累積大量未處理案件。
在此一情況下,全面為所有漏洞提供分析與評分已不可持續,因此改採風險導向策略,優先處理已被利用或具關鍵影響的漏洞。而未被列入優先分析範圍的CVE,將被歸類為未排程(Not Scheduled)。
具體而言,NIST將不再全面分析所有漏洞,而是優先處理已被美國網路安全暨基礎設施安全局(CISA)列為已知遭利用漏洞清單(Known Exploited Vulnerabilities,KEV)的項目,目標是在一個工作天內完成分析,同時也會優先處理政府與關鍵系統相關漏洞。
至於其他一般漏洞,雖然仍會收錄在NVD中,但將不再提供評分與完整分析,僅保留基本資訊,只在收到申請或資源允許時才會進一步補充分析,並歸類為未排程(Not Scheduled)。
儘管有人認為NVD的改制很可能會擴大漏洞情報落差,影響企業判斷風險的能力,然而,趨勢科技漏洞研究計畫Zero Day Initiative威脅認知負責人Dustin Childs向CyberScoop認為,NIST必須採取行動,因為該組織在CVE分析上已嚴重落後,而且可能永遠跟不上。
NIST並未公布到底有多少待處理的CVE,但根據其公開儀表板,自NVD從2005年建立以來總計收錄了344,998筆CVE,現在已有超過10萬筆被列入Not Scheduled。
