因漏洞数量激增,NIST 将停止评估非优先级漏洞评级
- 浏览次数 265
- 喜欢 0
HackerNews 编译,转载请注明出处:
由于提交的漏洞数量不断增加,导致工作量日益繁重,美国国家标准与技术研究院(NIST)将停止对低优先级漏洞评定严重程度分数。
从 4 月 15 日起,该机构的相关服务仅针对符合特定风险标准的安全问题进行分析,并提供额外详细信息(如严重程度评级、受影响产品列表等)。
美国国家漏洞数据库(NVD)仍将列出所有提交的漏洞,但那些被视为低优先级的漏洞,其严重程度评级将仅采用最初评估并提交该漏洞的 CVE 编号机构(CNA)给出的评级。
在本周的一份公告中,这家非监管性联邦机构表示,仅会为符合以下标准之一的漏洞提供额外详细信息:
- 被列入美国网络安全和基础设施安全局(CISA)的已知被利用漏洞(KEV)目录;
- 影响美国联邦政府软件;
- 涉及行政命令 14028 规定的关键软件。
NIST 解释称,做出这一决定是因为提交的漏洞数量庞大。近期漏洞提交量增长了 263%,且在 2026 年仍在加速增长。2025 年,该机构充实了 42000 个通用漏洞披露(CVE)信息,但如今已无法跟上不断增加的数量。
NIST 的 NVD 是一个公开的、集中的已知软件和硬件漏洞数据库,除了由 CNA(如软件供应商和非营利组织 MITRE 公司)分配的唯一标识符(CVE 编号)外,它还提供额外的描述和分析。
充实漏洞详细信息的目的是让 CVE 条目能够用于风险管理,包括评定严重程度分数、确定受影响的产品版本、对漏洞弱点进行分类,以及提供相关公告、补丁或研究的链接。
NVD 被安全研究人员、软件供应商、政府机构、信息技术专业人员、记者以及寻求特定安全问题更多信息的普通用户广泛使用。
NIST 解释说:“所有提交的 CVE 仍将添加到 NVD 中。然而,不符合上述标准的 CVE 将被归类为‘未安排评估’。”
“这将使我们能够专注于那些最有可能产生广泛影响的 CVE。虽然不符合这些标准的 CVE 可能对受影响系统有重大影响,但总体而言,它们带来的系统性风险与优先类别中的 CVE 不同。”
NIST 承认,新规则可能会使一些潜在高影响的 CVE 被遗漏。因此,该机构接受通过发送电子邮件至‘nvd@nist.gov’,对 “任何最低优先级 CVE” 提出充实信息的请求。
自 2024 年起,NVD 充实信息的缺失或显著延迟就已较为明显,但该机构如今正式宣布将重点关注最重要的条目。
消息来源:bleepingcomputer.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文