NIST 放棄對大多數 CVE 漏洞進行資料富化

背景

美國國家標準暨技術研究院（NIST）近期正式宣布，由於漏洞回報數量呈爆炸式增長且預算面臨縮減，國家漏洞資料庫（NVD）將停止對大多數通用漏洞披露（CVE）進行資料富化（Enrichment）。未來 NIST 僅會針對影響政府網路與關鍵基礎設施的重要漏洞添加元數據，並停止提供自家的 CVSS 評分，轉而直接採用漏洞發布機構所提供的原始數據。

社群觀點

針對 NIST 的這項重大轉向，Hacker News 社群普遍認為這是「遲早會發生」的現實妥協。許多技術人員指出，NIST 長期以來在漏洞富化方面的表現早已力不從心，甚至有評論直言過去幾年幾乎感受不到該機構提供了多少實質的增值資訊。支持者認為，面對每年數以萬計的漏洞，要求一個外部機構對成千上萬種不同軟體進行精準評分本就不切實際。特別是許多漏洞涉及深層的產品邏輯，若缺乏對系統架構的深度理解，外部機構往往難以給出公正的評價，甚至可能因為誤判而導致資源浪費。

然而，這項政策變動也引發了關於「球員兼裁判」的疑慮。部分討論者擔憂，當 NIST 停止獨立評分後，軟體廠商可能會為了維護企業形象而刻意壓低自家產品漏洞的嚴重性等級。這種擔憂並非空穴來風，資安研究人員常發現廠商在撰寫漏洞報告時，會透過修辭或誤導性的描述來淡化影響。但社群中也有另一種聲音認為，過往那種盲目追求「消除掃描器紅字」的文化同樣病態。有開發者分享自身經驗指出，許多受監管的企業會將 CVSS 高分漏洞視為必須立即修復的死命令，即便該漏洞在特定情境下完全無法被利用，企業仍被迫花費巨額成本重構系統，只為了讓自動化掃描工具閉嘴。

此外，社群對於未來漏洞管理的自動化趨勢感到憂心。隨著 AI 輔助漏洞挖掘技術的普及，CVE 的數量預計將迎來更劇烈的噴發，其中必然夾雜大量無關痛癢的「雜訊」。NIST 選擇在此時退場，雖然是基於預算的理性選擇，卻也將壓力轉嫁到了資安工具供應商與企業內部的資安團隊身上。有意見提議，或許現行的 CVE 命名系統已經過時，應該考慮改用 UUID 等更具擴展性的識別方式，以應對未來海量的漏洞資訊。整體而言，社群共識傾向於認為，漏洞管理的重心應從「修復所有高分漏洞」轉向「基於實際情境的風險評估」，而 NIST 的決定只是加速了這個轉型過程。

延伸閱讀

• NIST 官方公告與清單：詳細列出了 NIST 認定為「重要」且會持續富化的軟體類別，包含作業系統、瀏覽器及 VPN 等關鍵基礎設施軟體。
• Aikido Security 產業評論：由 Sooraj Shah 撰寫，深入分析此政策對漏洞管理產業與掃描工具供應商的具體衝擊。