美國國家標準與技術研究院（NIST）宣布，自2026年4月15日起，對其管理的國家漏洞資料庫（NVD）採取重大運作調整——停止對不符合優先條件的CVE漏洞進行「富化」（enrichment）作業。所謂富化，是指NIST在CVE基本記錄之外，額外提供CVSS嚴重性評分、受影響產品清單（CPE）、漏洞影響說明等詳細分析資料——這些資料長期以來是全球資安從業者進行修補優先化決策的基礎。

此決策的根本驅動力是CVE提交量的爆炸性增長。2020至2025年間，CVE提交量增加了263%；2026年第一季的提交量更比去年同期高出三分之一。NIST電腦科學家Harold Booth在2026年4月15日的VulnCon26（亞利桑那州斯科茨代爾）上坦言：「CVE回報持續增加，而我們跟上的能力已不復存在，積壓持續累積。」儘管NIST在2025年已富化近42,000個CVE（較前一年增加45%），仍遠遠追不上提交速度。AI驅動的漏洞發現工具的普及，被認為是近年CVE提交量急劇上升的主要原因之一。NIST新的優先富化條件（2026年4月15日起生效）僅涵蓋三類CVE：

✔  出現在CISA已知遭利用漏洞（KEV）目錄中的CVE——目標在收到後一個工作日內完成富化；

✔  聯邦政府使用軟體的CVE；

✔  行政令14028（EO 14028）定義的「關鍵軟體」的CVE——包含以提升或管理權限運行的軟體、管理特權帳號或機密的軟體，以及與其他軟體具備網路存取或安全相關功能的軟體。

所有不符合以上條件的CVE，仍會收錄在NVD，但被標注為「最低優先——不排程立即富化」（Not Scheduled）。此政策還伴隨幾項重要附帶調整：

✔  NIST不再為CVE編號機構（CNA）已提供嚴重性評分的CVE另行提供獨立評分——改為直接採用CNA的評分，不進行獨立複核。

✔  已富化的CVE若被修改，只有在修改內容「實質影響」原有富化資料時才會重新分析。

✔  所有發布日期早於2026年3月1日的未富化積壓CVE，將移入「不排程」類別（KEV目錄中的CVE不受此限）。

✔  使用者可發送電子郵件至nvd@nist.gov，請求對特定「最低優先」CVE進行富化，NIST將依資源狀況評估安排。

此政策對資安從業者的實際衝擊，比表面看起來要深遠。許多SIEM、SOAR、弱點管理與修補優先化工具，長期依賴NVD的CVSS評分作為自動化分類基礎——一旦大量新發布CVE缺乏NIST提供的評分與CPE資料，這些自動化流程可能回傳空白資料或誤判優先順序。美國Medium分析文章指出：「你的漏洞掃描器可能停止告訴你什麼事情最重要。」

值得特別關注的背景是：此政策調整與CISA正在面臨的預算削減（7.07億美元削減、約1,000名員工離職）幾乎同步發生——美國漏洞管理的兩個核心公共基礎設施正在同時收縮，形成防禦資源與攻擊面之間的雙重不對稱壓力。對企業資安團隊而言，應對此政策變化的優先行動包括：

✔  建立補充性漏洞情資來源：VulnCheck、Tenable的漏洞情報、Qualys的ThreatPROTECT、Rapid7的VulnDB等商業資料庫，已開始補充NVD的缺口。

✔  重新評估自動化漏洞管理流程：確認SIEM/SOAR的修補觸發規則在CVE缺乏CVSS評分時的行為。

✔  強化CISA KEV清單的使用優先級：KEV收錄的漏洞仍保有NIST富化保證，應作為修補決策的核心依據。

✔  向廠商施壓要求CNA評分品質：既然NIST將直接採用CNA評分，廠商自行提交的CVSS評分品質更為關鍵。

NIST強調，此調整旨在「穩定NVD計畫，同時開發實現長期可持續性所需的自動化系統與工作流程強化」。這暗示未來可能推出更大規模的自動化CVE富化能力，但實現時程目前不明。整體而言，此政策標誌著全球漏洞情資基礎設施正在從「統一公共服務」走向「分層商業生態系」的結構性轉變，對資源有限的中小型組織衝擊尤大。

資料來源：https://www.bleepingcomputer.com/news/security/nist-to-stop-rating-non-priority-flaws-due-to-volume-increase/