江蘇
關(guān)鍵詞
漏洞
由于提交的漏洞數(shù)量不斷增加,導(dǎo)致工作量日益繁重,美國國家標準與技術(shù)研究院(NIST)將停止對低優(yōu)先級漏洞評定嚴重程度分數(shù)。
從 4 月 15 日起,該機構(gòu)的相關(guān)服務(wù)僅針對符合特定風(fēng)險標準的安全問題進行分析,并提供額外詳細信息(如嚴重程度評級、受影響產(chǎn)品列表等)。
美國國家漏洞數(shù)據(jù)庫(NVD)仍將列出所有提交的漏洞,但那些被視為低優(yōu)先級的漏洞,其嚴重程度評級將僅采用最初評估并提交該漏洞的 CVE 編號機構(gòu)(CNA)給出的評級。
在本周的一份公告中,這家非監(jiān)管性聯(lián)邦機構(gòu)表示,僅會為符合以下標準之一的漏洞提供額外詳細信息:
被列入美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的已知被利用漏洞(KEV)目錄;
影響美國聯(lián)邦政府軟件;
涉及行政命令 14028 規(guī)定的關(guān)鍵軟件。
NIST 解釋稱,做出這一決定是因為提交的漏洞數(shù)量龐大。近期漏洞提交量增長了 263%,且在 2026 年仍在加速增長。2025 年,該機構(gòu)充實了 42000 個通用漏洞披露(CVE)信息,但如今已無法跟上不斷增加的數(shù)量。
NIST 的 NVD 是一個公開的、集中的已知軟件和硬件漏洞數(shù)據(jù)庫,除了由 CNA(如軟件供應(yīng)商和非營利組織 MITRE 公司)分配的唯一標識符(CVE 編號)外,它還提供額外的描述和分析。
充實漏洞詳細信息的目的是讓 CVE 條目能夠用于風(fēng)險管理,包括評定嚴重程度分數(shù)、確定受影響的產(chǎn)品版本、對漏洞弱點進行分類,以及提供相關(guān)公告、補丁或研究的鏈接。
NVD 被安全研究人員、軟件供應(yīng)商、政府機構(gòu)、信息技術(shù)專業(yè)人員、記者以及尋求特定安全問題更多信息的普通用戶廣泛使用。
NIST 解釋說:“所有提交的 CVE 仍將添加到 NVD 中。然而,不符合上述標準的 CVE 將被歸類為‘未安排評估’。”
“這將使我們能夠?qū)W⒂谀切┳钣锌赡墚a(chǎn)生廣泛影響的 CVE。雖然不符合這些標準的 CVE 可能對受影響系統(tǒng)有重大影響,但總體而言,它們帶來的系統(tǒng)性風(fēng)險與優(yōu)先類別中的 CVE 不同。”
NIST 承認,新規(guī)則可能會使一些潛在高影響的 CVE 被遺漏。因此,該機構(gòu)接受通過發(fā)送電子郵件至‘nvd@nist.gov’,對 “任何最低優(yōu)先級 CVE” 提出充實信息的請求。
自 2024 年起,NVD 充實信息的缺失或顯著延遲就已較為明顯,但該機構(gòu)如今正式宣布將重點關(guān)注最重要的條目。
安全圈
網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
