江蘇
關鍵詞
漏洞
由于提交的漏洞數量不斷增加,導致工作量日益繁重,美國國家標準與技術研究院(NIST)將停止對低優先級漏洞評定嚴重程度分數。
從 4 月 15 日起,該機構的相關服務僅針對符合特定風險標準的安全問題進行分析,并提供額外詳細信息(如嚴重程度評級、受影響產品列表等)。
美國國家漏洞數據庫(NVD)仍將列出所有提交的漏洞,但那些被視為低優先級的漏洞,其嚴重程度評級將僅采用最初評估并提交該漏洞的 CVE 編號機構(CNA)給出的評級。
在本周的一份公告中,這家非監管性聯邦機構表示,僅會為符合以下標準之一的漏洞提供額外詳細信息:
被列入美國網絡安全和基礎設施安全局(CISA)的已知被利用漏洞(KEV)目錄;
影響美國聯邦政府軟件;
涉及行政命令 14028 規定的關鍵軟件。
NIST 解釋稱,做出這一決定是因為提交的漏洞數量龐大。近期漏洞提交量增長了 263%,且在 2026 年仍在加速增長。2025 年,該機構充實了 42000 個通用漏洞披露(CVE)信息,但如今已無法跟上不斷增加的數量。
NIST 的 NVD 是一個公開的、集中的已知軟件和硬件漏洞數據庫,除了由 CNA(如軟件供應商和非營利組織 MITRE 公司)分配的唯一標識符(CVE 編號)外,它還提供額外的描述和分析。
充實漏洞詳細信息的目的是讓 CVE 條目能夠用于風險管理,包括評定嚴重程度分數、確定受影響的產品版本、對漏洞弱點進行分類,以及提供相關公告、補丁或研究的鏈接。
NVD 被安全研究人員、軟件供應商、政府機構、信息技術專業人員、記者以及尋求特定安全問題更多信息的普通用戶廣泛使用。
NIST 解釋說:“所有提交的 CVE 仍將添加到 NVD 中。然而,不符合上述標準的 CVE 將被歸類為‘未安排評估’。”
“這將使我們能夠專注于那些最有可能產生廣泛影響的 CVE。雖然不符合這些標準的 CVE 可能對受影響系統有重大影響,但總體而言,它們帶來的系統性風險與優先類別中的 CVE 不同。”
NIST 承認,新規則可能會使一些潛在高影響的 CVE 被遺漏。因此,該機構接受通過發送電子郵件至‘nvd@nist.gov’,對 “任何最低優先級 CVE” 提出充實信息的請求。
自 2024 年起,NVD 充實信息的缺失或顯著延遲就已較為明顯,但該機構如今正式宣布將重點關注最重要的條目。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
