NIST調整NVD運作模式，轉向風險優先機制

背景：CVE數量暴增導致分析瓶頸

美國國家標準暨技術研究院（NIST）週三（4/15）宣佈，因應通用漏洞揭露（CVE）數量在2020年至2025年間暴增263%，其國家漏洞資料庫（NVD）的運作模式將進行重大調整。

NIST坦言，現有的漏洞分析能力已無法跟上漏洞新增的速度，若繼續對所有漏洞進行完整分析與評分，將導致系統嚴重落後且效率低下。

新策略：縮減分析範圍，聚焦關鍵威脅

自即日起生效，NIST將不再對所有漏洞進行完整分析與評分，改採風險優先機制：

• 優先處理：已被利用的漏洞（KEV）以及與關鍵系統相關的漏洞。
• 縮減範圍：對於其他非關鍵或非已利用的漏洞，將大幅縮減分析深度，甚至將其狀態標記為「未安排」（Not Scheduled）。
• 資源重分配：將原本用於全面分析的資源，集中於處理對國家安全與基礎設施構成最高風險的漏洞。

專家觀點與影響

資安專家指出，這項轉變勢在必行，反映了當前資安環境中漏洞提交量激增（2025年提交量接近42,000個，較往年增長45%）的現實挑戰。此舉旨在確保有限的分析資源能優先解決最致命的威脅，而非陷入數量膨脹的泥潭。