NIST 放弃充实多数 CVE 信息，网络安全行业将受何影响？

《风险通报》时事通讯2026 年 4 月 17 日美国国家标准与技术研究院NIST宣布一项针对美国国家漏洞数据库National Vulnerability Database的新政策。该机构一直难以更新系统中新增每个漏洞的详细信息。NIST 新政策内容NIST 在声明中表示未来其工作人员将仅对“重要漏洞”添加数据这一过程被称为“充实”。这些重要漏洞包括三类对美国政府网络和私营部门安全运营至关重要的安全漏洞一是美国网络安全与基础设施安全局CISA已知被利用漏洞KEV数据库中列出的漏洞对应的 CVE 条目二是美国联邦机构使用的软件中的 CVE三是该机构归类为“关键软件”的 CVE。最后一类看似限制严格实际上范围相当广泛涵盖了所有期望并希望拥有完善 CVE 信息的主流软件如操作系统、网页浏览器、安全软件、防火墙、备份软件和 VPN 等。难以充实 CVE 信息的原因由于漏洞发现数量激增以及成本不断攀升再加上特朗普政府近期削减了国土安全部DHS和 CISA 的各项预算NIST 在过去两年多来一直难以充实 CVE 信息。问题始于 2024 年初当时有 2100 多个 CVE 条目缺乏充实的元数据到年底这一数字几乎增至 30000 个。尽管该机构努力补充国家漏洞数据库NVD中所有 CVE 的详细信息但仍有数千个漏洞的信息未得到更新。新政策的影响NIST 的这一宣布是一种妥协该机构承认由于当前的预算状况它永远无法完成所有 CVE 信息的充实工作。这一宣布并非漏洞管理公司所期望的因为许多公司依赖于将 NVD 的输出整合到自己的漏洞扫描器、仪表盘和报告工具中。随着部分输出数据将永久消失它们必须寻找其他数据来源或自行充实数据。行业早有预料网络安全行业早有预料。在 1 月份的季度会议上NIST 官员谈到了“重新思考”该机构在分析软件漏洞方面的作用并暗示了只对重要漏洞进行分类的计划。其他相关变化NIST 表示除了只专注于充实重要漏洞的信息外还将停止为 NVD 条目提供自己的通用漏洞评分系统CVSS严重程度评分而是显示发布 CVE 的组织最初分配的严重程度评分。这可能会引发许多信息安全方面的争议。新充实政策生效NIST 的新充实政策于本周三4 月 15 日生效。《风险业务》播客《风险业务》主播客的近期节目现已在 YouTube 上提供视频版本。数据泄露、黑客攻击和安全事件包括俄罗斯黑客瞄准瑞典热电厂、入侵乌克兰检察官邮箱、Grinex 遭黑客攻击后关闭、Zerion 指责朝鲜发动加密货币盗窃、Autovista 遭遇勒索软件攻击、麦格劳·希尔数据泄露、标准银行数据泄露、BlueLeaks 2.0 数据出售、Krybit 攻击 0APT 等事件。通用技术与隐私包括 OpenAI 推出私有网络安全模型、Anthropic 为 Claude 推出身份验证、BlueSky 大规模服务中断、Grok 仍生成裸体图像、“裸化”应用仍随处可见、新闻网站阻止互联网档案馆、IPv6 流量突破 50%、IPv8 协议提案、Chrome 未阻止浏览器指纹识别、安卓新增一次性数据选择器、树莓派禁用无密码 sudo、部分扩展安全更新ESU延期等事件。