国家技术标准研究所（NIST）改变其维护广泛使用的国家漏洞数据库（NVD）的方式，引发了对当前企业漏洞管理流程脆弱性的关注。2 月 13 日，NIST 突然宣布缩减对数据库的漏洞分析贡献，并将该任务移交给其他组织的联盟。这导致 NVD 中大量漏洞缺乏关键的 CWE、CPE 和其他元数据，给企业组织的漏洞管理工作带来了诸多问题，如自动化工具失效、合规性受影响等。

一些专家认为，NIST 放缓的原因可能是分析师不堪重负以及漏洞积压过多。NIST 表示正在努力解决这些问题，并寻求建立一个行业、政府和其他利益相关者组织的联盟来改进 NVD。

Anchore 推出了开源仓库“NVD Data Overrides”来填补这一空缺，但该项目仍处于早期阶段。此外，组织还应考虑采用更 proactive 的方法，如威胁狩猎和渗透测试，以应对现代威胁。同时，新的 Exploit Prediction Scoring System（EPSS）旨在为软件风险评分增加更多价值。

虽然 NVD 仍有用，但在管理软件供应链攻击风险方面已力不从心，企业应将重点转向主动检测恶意软件和软件篡改等现代攻击技术。最近的 ReversingLabs 报告也强调了软件组织在检测软件供应链攻击方面的不足，而复杂的二进制分析可为完整软件包提供必要的检测。