01、全球漏洞管理體系的“至暗時(shí)刻”

2026年4月，一則來自美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）的公告，在全球網(wǎng)絡(luò)安全界投下了一顆炸彈。NIST正式宣布，將對其運(yùn)營長達(dá)26年的國家漏洞數(shù)據(jù)庫（NVD）進(jìn)行重大改革：放棄對所有通用漏洞披露（CVE）進(jìn)行全面分析的長期目標(biāo)，轉(zhuǎn)而采用基于風(fēng)險(xiǎn)的分級評估模型，僅優(yōu)先處理三類“高優(yōu)先級”漏洞。

這一決定的背后，是令人觸目驚心的數(shù)據(jù)：2020年至2025年間，全球CVE提交量暴漲了263%，相當(dāng)于每兩年翻一番。2026年第一季度，這一數(shù)字同比再漲33%。面對如洪水般涌來的漏洞，NIST即便在2025年處理了創(chuàng)紀(jì)錄的42000個(gè)CVE，仍無法跟上提交速度，積壓未處理的漏洞已超過3萬條。人力不足的困境，迫使這個(gè)曾被全球安全團(tuán)隊(duì)認(rèn)可的權(quán)威數(shù)據(jù)庫，不得不收縮戰(zhàn)線。

這意味著什么？從4月15日起，只有被列入美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）已知已利用漏洞（KEV）目錄、影響聯(lián)邦政府軟件或?qū)儆陉P(guān)鍵基礎(chǔ)設(shè)施軟件的CVE，才能獲得NIST的完整分析和CVSS嚴(yán)重性評分。其余海量漏洞將被標(biāo)記為“未計(jì)劃分析”，它們只有一個(gè)編號和描述，沒有評分，沒有受影響產(chǎn)品的結(jié)構(gòu)化信息。

依賴NVD進(jìn)行自動(dòng)化漏洞掃描和優(yōu)先級判定的安全團(tuán)隊(duì)，一夜之間發(fā)現(xiàn)自己站在了巨大的盲區(qū)面前。同一個(gè)漏洞，在Snyk、GitHub、Dependabot等不同數(shù)據(jù)供應(yīng)商那里可能得到截然不同的評分，甚至直接被忽略?！澳膫€(gè)才算數(shù)？”的混亂問題將頻繁地出現(xiàn)。

全球漏洞管理的基石，正在變成一個(gè)“有洞的篩子”！

02、破局者登場：OpenCloudOS社區(qū)的“動(dòng)態(tài)分級”答卷

正當(dāng)全球安全生態(tài)為NVD的收縮而焦慮時(shí)，中國開源操作系統(tǒng)社區(qū)傳來了一個(gè)強(qiáng)有力的回應(yīng)。近日，OpenCloudOS開源操作系統(tǒng)社區(qū)安全SIG發(fā)布了國內(nèi)首個(gè)面向真實(shí)業(yè)務(wù)風(fēng)險(xiǎn)的動(dòng)態(tài)漏洞分類分級體系EARS V1（Exploitability and Attack Risk Scale，漏洞可利用性與攻擊風(fēng)險(xiǎn)等級 V1）。

EARS V1的誕生，并非意圖取代國際通行的CVSS評分體系，而是直指當(dāng)前漏洞治理在靜態(tài)評分與動(dòng)態(tài)風(fēng)險(xiǎn)之間的巨大鴻溝。它是一套以“實(shí)戰(zhàn)化風(fēng)險(xiǎn)判斷”為核心的評級體系，旨在通過綜合分析漏洞利用條件、在野攻擊態(tài)勢與真實(shí)環(huán)境可達(dá)性，將動(dòng)態(tài)威脅情報(bào)深度納入評級體系，反映漏洞對業(yè)務(wù)的真實(shí)影響與實(shí)時(shí)威脅，從而實(shí)現(xiàn)從“看分值“到“看風(fēng)險(xiǎn)”的漏洞治理進(jìn)階。

OpenCloudOS社區(qū)建立的這套方法論，其精髓在于“四維動(dòng)態(tài)評估矩陣”。這不是對CVSS分?jǐn)?shù)的簡單加權(quán)平均，而是一個(gè)相互校驗(yàn)、層層遞進(jìn)的動(dòng)態(tài)研判模型。

第一層：技術(shù)嚴(yán)重性——尊重科學(xué)基準(zhǔn)。EARS V1全面采納CVSS v3/v4的基礎(chǔ)指標(biāo)作為客觀、可比較的技術(shù)基準(zhǔn)。它如同客觀的“體檢報(bào)告”，但社區(qū)清醒地認(rèn)識到，同一份報(bào)告在不同系統(tǒng)環(huán)境下的“臨床意義”可能天差地別。因此，CVSS評分是參考，而非最終判決。

第二層：場景化可行性分析——評估真實(shí)攻擊門檻。這一層超越了CVSS的通用描述，社區(qū)通過深入OpenCloudOS的具體環(huán)境進(jìn)行多維評估：漏洞涉及的服務(wù)在默認(rèn)安裝中是否啟用？攻擊路徑是否被默認(rèn)安全策略所緩解？在典型服務(wù)器生產(chǎn)環(huán)境中，利用所需的權(quán)限是否容易達(dá)成？經(jīng)過這層篩選，許多理論高分漏洞因其極高的實(shí)際利用門檻，緊急程度會被合理下調(diào)。

第三層：業(yè)務(wù)影響研判——明確實(shí)際危害類型。事實(shí)上，并非所有漏洞的后果都一樣嚴(yán)重。因此，EARS V1將危害明確分為“從遠(yuǎn)程代碼執(zhí)行（RCE）、容器逃逸到本地拒絕服務(wù)”等8種類型。這一研判幫助用戶清晰分辨：一個(gè)漏洞到底是能導(dǎo)致系統(tǒng)被完全接管，還是僅造成局部功能中斷，從而將寶貴的修復(fù)資源精準(zhǔn)投向威脅最大的目標(biāo)。

第四層：威脅情報(bào)驅(qū)動(dòng)——AI Agent動(dòng)態(tài)感知實(shí)時(shí)威脅。這是將靜態(tài)評估轉(zhuǎn)化為動(dòng)態(tài)風(fēng)險(xiǎn)管理的關(guān)鍵。系統(tǒng)通過AI Agent廣泛感知互聯(lián)網(wǎng)及多方信源的威脅情報(bào)。如果一個(gè)漏洞長期無任何在野利用跡象，其優(yōu)先級可動(dòng)態(tài)下調(diào)；反之，若短期內(nèi)出現(xiàn)攻擊證據(jù)或漏洞利用代碼（PoC），其威脅等級將被實(shí)時(shí)上調(diào)，確保響應(yīng)始終與最新威脅同步。

技術(shù)嚴(yán)重性提供基礎(chǔ)參考，利用前提條件衡量攻擊門檻，利用結(jié)果區(qū)分危害類型，在野利用可能性反映實(shí)時(shí)威脅。四個(gè)維度并非簡單疊加，而是構(gòu)成一個(gè)持續(xù)校驗(yàn)、動(dòng)態(tài)平衡的模型，最終輸出一個(gè)更貼近真實(shí)業(yè)務(wù)風(fēng)險(xiǎn)的結(jié)論。

03、實(shí)踐答卷：以精準(zhǔn)治理夯實(shí)產(chǎn)業(yè)安全根基

據(jù)OpenCloudOS社區(qū)在2025年全量漏洞數(shù)據(jù)的驗(yàn)證結(jié)果顯示，EARS V1取得了顯著成效：高危漏洞“水分”擠出率超90%，重大威脅無一漏網(wǎng)，實(shí)現(xiàn)了漏洞的精準(zhǔn)識別、正確定級、應(yīng)修盡修。這意味著安全團(tuán)隊(duì)可以將有限的精力，從應(yīng)對海量“高危”告警的“疲于奔命”，轉(zhuǎn)向?qū)φ嬲{的“精準(zhǔn)制導(dǎo)”。

EARS V1的發(fā)布，對國產(chǎn)操作系統(tǒng)乃至整個(gè)國內(nèi)信創(chuàng)領(lǐng)域，具有深遠(yuǎn)而重大的意義。

一方面，這是應(yīng)對“供應(yīng)鏈安全”挑戰(zhàn)的主動(dòng)應(yīng)對。當(dāng)前，關(guān)鍵信息基礎(chǔ)設(shè)施國產(chǎn)化進(jìn)程加速，但國產(chǎn)軟硬件產(chǎn)品的漏洞安全難題日益突出。NVD的收縮進(jìn)一步加劇了外部依賴的風(fēng)險(xiǎn)。EARS V1的推出，標(biāo)志著中國開源社區(qū)開始構(gòu)建不依賴外部、具備內(nèi)生韌性的漏洞治理能力，是夯實(shí)自主可控安全基石的必經(jīng)之路。它幫助國產(chǎn)操作系統(tǒng)生態(tài)在漏洞情報(bào)的獲取、分析和響應(yīng)上，逐步建立自主的“免疫系統(tǒng)”。

另一方面，這是引領(lǐng)漏洞治理“范式升級”的產(chǎn)業(yè)覺醒。長期以來，國內(nèi)安全生態(tài)在一定程度上跟隨國際標(biāo)準(zhǔn)。EARS V1的出現(xiàn)，不是被動(dòng)的規(guī)則適應(yīng)，而是基于自身海量業(yè)務(wù)場景驗(yàn)證的、面向真實(shí)風(fēng)險(xiǎn)的實(shí)踐創(chuàng)新。它呼應(yīng)了國內(nèi)產(chǎn)業(yè)界從“被動(dòng)響應(yīng)”到“主動(dòng)防御+智能預(yù)測”的進(jìn)化需求，為整個(gè)行業(yè)提供了一套可參考、可落地的動(dòng)態(tài)風(fēng)險(xiǎn)評估框架。

04、攜手生態(tài)，邁向智能治理新階段

OpenCloudOS社區(qū)的探索并未止步。未來，社區(qū)計(jì)劃引入更多AI能力輔助風(fēng)險(xiǎn)分析，例如利用AI深入解讀漏洞公告、分析源代碼以理解潛在利用路徑，實(shí)現(xiàn)動(dòng)態(tài)優(yōu)先級的智能演算。

目前，OpenCloudOS社區(qū)與中科方德、新華三、海光、沐曦、龍芯、飛騰、進(jìn)迭時(shí)空、騰訊云、東華軟件、奇安信、綠盟、作業(yè)幫、山東大學(xué)、中南民族大學(xué)、Circle Linux社區(qū)及國內(nèi)頭部金融企業(yè)等伙伴攜手，不斷完善這一基于真實(shí)風(fēng)險(xiǎn)與動(dòng)態(tài)證據(jù)的治理框架。這種開放協(xié)同的模式，旨在打破企業(yè)與企業(yè)、領(lǐng)域與領(lǐng)域之間的壁壘，共建跨界的“聯(lián)動(dòng)防御”生態(tài)。通過協(xié)同實(shí)現(xiàn)能力互補(bǔ)、信息共享與聯(lián)合響應(yīng)，共同提升我國基礎(chǔ)軟件的整體安全水位。

05、結(jié)語

NVD的“收縮”是一次壓力測試，暴露了全球漏洞管理體系的結(jié)構(gòu)性危機(jī)。而OpenCloudOS社區(qū)EARS V1的“進(jìn)擊”，則是一次寶貴的產(chǎn)業(yè)覺醒與實(shí)踐回應(yīng)。它不僅僅是一個(gè)技術(shù)標(biāo)準(zhǔn)，更是一種治理思維的積極轉(zhuǎn)變。

在全球網(wǎng)絡(luò)安全博弈日益復(fù)雜、供應(yīng)鏈安全成為核心議題的今天，國產(chǎn)操作系統(tǒng)領(lǐng)域通過這樣的創(chuàng)新，正在將安全主動(dòng)權(quán)牢牢掌握在自己手中。從“有洞的篩子”到“精密的風(fēng)險(xiǎn)篩”，這場由國內(nèi)開源社區(qū)引領(lǐng)的漏洞治理范式革命，或許正是中國信創(chuàng)產(chǎn)業(yè)走向更智能、更高效、更自主安全新階段的關(guān)鍵一步。

審核編輯 黃宇