当前位置: 首页 > news >正文

因漏洞数量激增,NIST 已停止对低优先级漏洞的评分

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

由于漏洞提交量不断增加导致工作量日益增长,美国国家标准与技术研究院 (NIST) 上周宣布从2026年4月15日起,停止为优先级较低的安全漏洞分配严重性评分。

自4月15日起,NIST 将仅针对符合特定风险相关标准的安全问题进行分析并提供额外信息(如严重性评级、受影响产品列表)。美国国家漏洞数据库 (NVD) 仍会收录所有提交的漏洞,但那些被视为低优先级的漏洞的严重性评级将仅由评估并提交该漏洞的CVE编号管理机构提供。

非监管性联邦机构NIST 在上周发布的一项公告中家表示,将仅对符合以下标准之一的漏洞提供额外信息:

  • 属于CISA已知被利用漏洞目录中的漏洞;

  • 影响美国联邦政府所使用的软件;

  • 涉及根据第14028号行政令界定的关键软件。

NIST解释称,这一决定是因漏洞提交数量大幅增加所致。从2020年到2025年,漏洞提交量增长了263%,并在2026年继续加速上升。该机构在2025年已对42000个CVE进行了数据丰富,但目前已无法跟上不断增长的数量。

NIST NVD 是一个公开的、集中式的已知软件与硬件漏洞数据库。除了由CNA(如供应商及非营利组织MITRE公司)分配的惟一标识符(CVE ID)之外,该数据库还提供额外的描述与分析信息。

对漏洞细节进行丰富的目的是使CVE条目可用于风险管理,包括分配严重性评分、识别受影响的软件版本、对弱点进行分类,以及提供指向安全公告、补丁或相关研究的链接。NIST NVD 被安全研究人员、软件供应商、政府机构、IT专业人士、记者以及希望获取特定安全问题更多信息的普通用户广泛使用。NIST 解释称:“所有提交的CVE仍会被添加到NVD中。但不符合上述标准的CVE将被归类为‘未安排处理’。这将使我们能够聚焦于最有可能产生广泛影响的CVE。虽然不符合这些标准的CVE对受影响系统可能仍具有重大影响,但它们通常不会像优先类别中的CVE那样带来同等程度的系统性风险。”

NIST提到,新规则可能会让一些具有潜在高影响的CVE被遗漏。因此,NIST接受通过电子邮件(地址为nvd@nist.gov)提交的“针对任何最低优先级CVE”的数据丰富请求。

虽然自2024年以来,数据丰富缺失或明显延迟的现象就已引人注意,但NIST最终正式宣布将专注于最重要的漏洞条目。

开源卫士试用地址:https://oss.qianxin.com/#/login

代码卫士试用地址:https://sast.qianxin.com/#/login


推荐阅读

NIST、CISA联合提出漏洞利用概率度量标准

NIST披露NVD的漏洞分析恢复计划

NIST宣布成立生成式AI工作组

NIST将对网络安全框架进行重大更新

原文链接

https://www.bleepingcomputer.com/news/security/nist-to-stop-rating-non-priority-flaws-due-to-volume-increase/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “在看” 或 "赞” 吧~

http://www.jsqmd.com/news/674445/

相关文章:

  • 摄影入门 | 从光到电:数码相机的成像核心
  • 【CTF那些事儿】b64steg.txt
  • Vite现代化的前端构建工具详解
  • c++怎么在写入文件流时通过peek预读功能实现复杂的逻辑判断【实战】
  • 别再让LaTeX表格乱跑了!用[h]和[htbp]参数精准控制表格位置(附Overleaf实战)
  • 3步快速掌握Winhance中文版:让Windows系统焕然一新的终极工具
  • RAG检索增强生成:让大模型拥有最新知识
  • GitHub Actions 工作流深入解析:从核心概念到高级实践
  • C# .NET 11 AI模型推理加速失败全复盘(2024生产环境117例报错日志深度溯源)
  • 你以为开题报告是在写作文?好写作AI告诉你,它其实是一次“决策”
  • 西门子S7-1500暖通空调冷水机组PLC程序案例, 硬件采用西门子1500CPU+ET200...
  • Go语言的sync.RWMutex中的策略性能优化
  • 短信验证码接口被刷如何防范?
  • 一篇吃透:Python 数据清洗与预处理企业级实战
  • Gerrit智能通知跑马灯插件:打造100%触达的开发者通知系统
  • 【CTF那些事儿】diff_Morse.txt
  • 孤能子视角:AI智能原理,“所有智能,都是茧房里的耦合“,以及人的主场
  • ssm校园失物招领信息系统小程序(文档+源码)_kaic
  • 亚马逊 5 月 20 日停旧款 Kindle 支持,旧设备何去何从?
  • c++ intel sgx编程 c++如何编写在enclave中运行的安全代码
  • Linux服务器新手入门:不懂命令行也能管理服务器的完整指南
  • 三国天下归心吕布是谁 三国天下归心吕布怎么玩
  • 自动驾驶:数据闭环
  • 【智能体Agent】学生成绩查询 Tool + Agent
  • GraalVM Native Image内存优化终极清单(含JFR+Native Memory Tracking双栈诊断流程):覆盖Spring Boot 3.x + Jakarta EE 9+全生态
  • 如何在 CSS 中实现元素的绝对定位,使其不受窗口尺寸变化影响
  • 别再手动录入药品说明书了!用PaddleHub的OCR模型5分钟搞定信息提取
  • 别再被“一键生成”忽悠了!好写作AI教你重新定义什么叫“好用的AI写作软件”
  • GoalFlow:端到端自动驾驶中的多模态轨迹生成
  • 2026年知名的彩钢厂房源头工厂推荐 - 品牌宣传支持者