NVD

NVD（国家漏洞数据库）由美国国家标准与技术研究院（NIST）维护，是全球最权威的公开漏洞数据源之一。它系统化地收录、分类并发布已知安全漏洞信息，为网络安全社区提供标准化的参考基准。NVD 的核心价值在于将原始的 CVE（通用漏洞披露）条目增强为可机读的、带有丰富元数据的结构化记录，从而支撑自动化的漏洞管理、风险评估与合规审计。作为开放数据平台，NVD 对所有用户免费，其信息被安全厂商、企业 SOC、开源工具及研究机构广泛引用。

核心功能

• CVE 关联与搜索：NVD 以 CVE 编号为唯一标识，收录超过 20 万条公开漏洞记录。用户可通过漏洞 ID、关键词、产品名称、厂商、时间范围等进行精确或模糊搜索，快速定位目标漏洞。
• CVSS 评分与严重性评估：为每条 CVE 分配基于通用漏洞评分系统（CVSS v2/v3/v3.1）的定性与定量评分，包括基础向量、时间向量和环境向量。评分结果直观显示漏洞的高/中/低风险等级，辅助排序修复优先级。
• CPE 匹配与受影响的软件清单：使用通用平台枚举（CPE）标准精确描述受影响的软件版本、操作系统及硬件。系统会自动将 CVE 与对应的 CPE 条目关联，支持大规模资产库与漏洞数据库的自动化比对。
• 时间线与版本历史：记录每条 CVE 的初始发布、更新、分析状态变更等关键时间戳。提供漏洞从披露到最终修复的全生命周期追踪，方便审计与报告。
• RESTful API 与批量数据导出：公开提供 JSON / XML 格式的完整数据包（每日更新）和 REST API 接口。企业可将 NVD 数据直接集成到 SIEM、SOAR、容器扫描器或其他安全工具中，实现自动化漏洞情报同步。
• 参考与外部链接：每条 CVE 条目附带指向 MITRE CVE 列表、相关公告、补丁、PoC 或厂商安全通告的 URL 引用，帮助用户获取更详尽的上下文与缓解措施。

适用人群

NVD 是网络安全从业者的核心工具，适用场景覆盖以下角色：安全运维人员利用其 CVSS 评分 + CPE 映射，在漏洞扫描器或补丁管理系统中自动计算资产风险；开发者在软件开发生命周期中通过 NVD API 监控依赖库的已知漏洞，执行开源组件合规检查；合规审计人员依赖 NVD 的时间线与状态字段，验证漏洞是否已被官方确认或修复；也有渗透测试人员和安全研究员将其作为漏洞编号解析的“第一站”，快速获取漏洞类型、攻击向量等基础信息。

NVD 每天更新，数据延迟通常在数小时内，但由于 CVE 编号由 MITRE 分配，NVD 的分析状态（如“等待分析”、“已分析”）可能滞后于原始披露。相比商业漏洞数据库（如 VulDB、CVE Details），NVD 的特点是全面免费、结构化程度高、权威性强，但提供的上下文深度相对有限（无 PoC 或具体攻击细节）。所以，它常与漏洞情报平台、威胁情报源配合使用，形成“NVD 标准化 + 第三方上下文”的组合方案。对于预算有限的中小型团队，NVD 的公开 API 足以支撑基础的漏洞管理流程；大型企业则通常在 NVD 基础上叠加商业化增强数据来减少误报、加速响应。