NIST放弃维护多数CVE详情
值得看指数 67.0 NO. 010 · 2026.04.18
发布2026/04/17Score98Comments23
为什么值得看
NIST宣布调整国家漏洞数据库策略,仅对关键CVE进行人工标注与详情补充,常规漏洞将不再enriched。这意味着安全团队需自行评估更多基础漏洞风险,依赖商业威胁情报或自动化优先级工具将成为必要。
编辑判断
NIST此举实质是承认在CVE数量爆发式增长(部分由AI生成代码导致)下,人工enrichment模式已不可持续。这对依赖免费NVD数据的安全厂商是利空,而拥有自有情报团队的商业平台(如Tenable、Wiz)以及自动化漏洞优先级排序工具将迎来机会。
如果你所在团队目前直接消费NVD原始数据做风险评估,需要立即评估这一变化对MTTR(平均修复时间)的影响,并考虑引入EPSS评分或商业威胁情报作为补充数据源。