因漏洞数量激增，NIST 已停止对低优先级漏洞的评分

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

由于漏洞提交量不断增加导致工作量日益增长，美国国家标准与技术研究院 (NIST) 上周宣布从2026年4月15日起，停止为优先级较低的安全漏洞分配严重性评分。

自4月15日起，NIST 将仅针对符合特定风险相关标准的安全问题进行分析并提供额外信息（如严重性评级、受影响产品列表）。美国国家漏洞数据库 (NVD) 仍会收录所有提交的漏洞，但那些被视为低优先级的漏洞的严重性评级将仅由评估并提交该漏洞的CVE编号管理机构提供。

非监管性联邦机构NIST 在上周发布的一项公告中家表示，将仅对符合以下标准之一的漏洞提供额外信息：

• 属于CISA已知被利用漏洞目录中的漏洞；

• 影响美国联邦政府所使用的软件；

• 涉及根据第14028号行政令界定的关键软件。

NIST解释称，这一决定是因漏洞提交数量大幅增加所致。从2020年到2025年，漏洞提交量增长了263%，并在2026年继续加速上升。该机构在2025年已对42000个CVE进行了数据丰富，但目前已无法跟上不断增长的数量。

NIST NVD 是一个公开的、集中式的已知软件与硬件漏洞数据库。除了由CNA（如供应商及非营利组织MITRE公司）分配的惟一标识符（CVE ID）之外，该数据库还提供额外的描述与分析信息。

对漏洞细节进行丰富的目的是使CVE条目可用于风险管理，包括分配严重性评分、识别受影响的软件版本、对弱点进行分类，以及提供指向安全公告、补丁或相关研究的链接。NIST NVD 被安全研究人员、软件供应商、政府机构、IT专业人士、记者以及希望获取特定安全问题更多信息的普通用户广泛使用。NIST 解释称：“所有提交的CVE仍会被添加到NVD中。但不符合上述标准的CVE将被归类为‘未安排处理’。这将使我们能够聚焦于最有可能产生广泛影响的CVE。虽然不符合这些标准的CVE对受影响系统可能仍具有重大影响，但它们通常不会像优先类别中的CVE那样带来同等程度的系统性风险。”

NIST提到，新规则可能会让一些具有潜在高影响的CVE被遗漏。因此，NIST接受通过电子邮件（地址为nvd@nist.gov）提交的“针对任何最低优先级CVE”的数据丰富请求。

虽然自2024年以来，数据丰富缺失或明显延迟的现象就已引人注意，但NIST最终正式宣布将专注于最重要的漏洞条目。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

NIST、CISA联合提出漏洞利用概率度量标准

NIST披露NVD的漏洞分析恢复计划

NIST宣布成立生成式AI工作组

NIST将对网络安全框架进行重大更新

原文链接

https://www.bleepingcomputer.com/news/security/nist-to-stop-rating-non-priority-flaws-due-to-volume-increase/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错，就点个 “在看” 或 "赞” 吧~