Bài viết & Thông báo

Ghi chú về quyết định ngày 15 tháng 4 năm 2026 của NIST khi Cơ sở dữ liệu Lỗ hổng Quốc gia Hoa Kỳ chính thức rời bỏ tham vọng phân tích từng CVE và chuyển sang mô hình phân loại dựa trên mức độ rủi ro.

NVD từng là nguồn dữ liệu trung tâm cho quản lý lỗ hổng trong hơn hai thập kỷ, nhưng sự tăng trưởng quá nhanh của số lượng CVE đã buộc NIST phải chuyển sang mô hình enrichment theo mức độ ưu tiên rủi ro. Thay đổi này làm suy yếu giả định rằng mọi CVE đều sẽ có CVSS, CPE và dữ liệu phân tích đầy đủ. Với các tổ chức phụ thuộc vào NVD như nguồn sự thật duy nhất, rủi ro lớn nhất không còn là cảnh báo sai, mà là sự vắng mặt của cảnh báo. Bài viết phân tích nguyên nhân của cuộc khủng hoảng khối lượng, tác động của trạng thái Not Scheduled, vai trò mới của CNA, KEV, EUVD và yêu cầu tái thiết kế kiến trúc dữ liệu lỗ hổng trong giai đoạn hậu NVD tập trung.