2026 年 6 月,中国国家信息安全漏洞库(CNNVD)正式发布《信息安全技术 网络安全受漏洞影响产品描述规范》,并同步推出中国版漏洞影响产品数据 PAV(Products Affected by Vulnerabilities)。作为对标美国国家漏洞库 NVD CPE 的国家主权数据,PAV 的推出价值巨大、影响深远——它不仅是一份数据标准,更是网络安全漏洞"发现能力"底座的一次自主重构。
漏洞影响产品,就是存在这个漏洞的、可能被攻击者利用的具体的软件、硬件或系统及其版本范围。没有它,用户就不知道漏洞会危害哪些软硬件或系统。此数据一般随漏洞公告发布,但随着漏洞海啸,缺少漏洞影响产品数据的漏洞公告越来越多。
通常,漏洞公告通常以自然语言描述漏洞,是"人可读"的。但要让机器自动判断"我的某台资产是否受这个漏洞影响",就必须把"受影响产品"结构化、标准化,形成"机器可读、可匹配"的数据。这正是漏洞影响产品数据的使命——它是连接"漏洞情报"与"资产清单"的关键桥梁。
图 1 漏洞影响产品数据:把"人读的安全公告"翻译为"机器可执行的资产风险
高质量的影响产品数据,支撑着现代漏洞管理几乎每一个环节:威胁情报、漏洞扫描器的规则匹配、软件成分分析(SCA / SBOM)、资产漏洞关联、供应链风险穿透、优先级研判……可以说,缺少它,"自动化漏洞管理"就无从谈起。
二十多年来,美国国家漏洞库 NVD 以 CPE(Common Platform Enumeration,通用平台枚举)作为影响产品的通用命名规范,用 WFN(格式良好名称)描述"厂商 : 产品 : 版本"三元组,成为全球漏洞管理事实上的通用语言。全球的扫描器、SCA 工具、威胁情报、SIEM、资产管理平台,大多直接或间接使用 CPE 数据。CPE 是过去二十年全球网络安全自动化的基石之一,其历史价值不可否认。
然而,作为基石的 CPE,正暴露出越来越严重的结构性问题,甚至面临"源头断供"的风险。
命名不一致:同一产品存在多个合法名(如 ie 与 internet_explorer),与厂商公告、第三方工具命名差异大。
分类过粗:仅 a / o / h 三类,对虚拟化、开源依赖等新技术兼容性差。
国产 / 开源覆盖差:缺厂商公告、国产产品、开源组件的影响数据,形成"识别盲区"。
通配符滥用:ANY 被滥用,漏洞影响版本范围被不当扩大。
更新滞后·机读性差:版本未直接指明、通配符滥用,机器难以精准判定受影响版本范围。
CPE 的困境并非一夜之间。从 2011 年 CPE 2.3 确立,到 2018 年 purl 兴起挑战三元组,再到 2024 年 2 月 NVD 突然大幅放缓富化——这记"全球警钟"敲响后,事态持续恶化。
图 2 NVD CPE / purl / CNNVD PAV 关键事件时间线
断档前,NVD 几乎为全部新披露 CVE 提供 CPE 富化(约 100%);断档后,获得 CPE 关联的新 CVE 比例骤降至约 8%;即便 CNA(编号机构)补位,覆盖率也仅回升到约 16%。截至 2024 年 9 月,待 NVD 分析富化的积压 CVE 已超过 1.8 万条。
图 3 新披露 CVE 获 NVD CPE 富化的比例:断崖式下滑
2026.4 放弃全量富化漏洞影响产品数据:NVD 正式转向"风险导向富化",仅优先 KEV 与联邦关键软件;约 2.9 万条历史积压整体划入"不再排期(Not Scheduled)"。
在 AI 的推动下,漏洞披露量持续激增——CVE 提交量在 2020 至 2025 年间增长约 263%,2025 年全年披露量突破 4 万条。但NVD CPE 的富化率却断崖式下滑。一升一降之间,"资产↔漏洞"关联出现结构性盲区,用户依赖 CPE / NVD 的漏洞扫描与资产关联发现能力被极大削弱。
图 4 漏洞激增与 CPE 富化锐减的致命背离
▲ 依赖即风险 当影响产品数据的"源头"停摆或收缩,所有构建其上的自动化发现能力都会随之失效——依赖单一境外源头,本身就是一种系统性风险。
在此背景下,中国国家漏洞库CNNVD PAV 横空出世。
PAV(Products Affected by Vulnerabilities)是《信息安全技术 网络安全受漏洞影响产品描述规范》定义的漏洞影响产品描述数据。它在NVD CPE传统"厂商 : 产品 : 版本"三元组之上,补齐了"不受影响"表达、四值语义与治理元数据,是专为"非接触式关联发现"量身打造的数据底座。
"不受影响"表达:内建 5 类"不受影响"理由,从数据模型层面直击误报——"组件在、代码却跑不到"的情况终于可以被准确表达。
四值语义:以 ANY(信息不足)/ *(全集)/ -(未知)/ NA(不适用)四值区分,比 CPE 单一通配符"*"更精准,避免影响范围被不当放大。
中文优先命名:以稳定中文名为主标识,化解国产厂商英文名"多译、多写"导致的碰撞失败。
治理画像属性:内建开源情况、开发者国别、应用行业、生命周期等治理元数据,天然支撑国产化率、关基行业等国家级统计与研判。
主权自主·纳入国标:数据源头国家级自主可控,纳入新修订国标。
PAV 并非对 CPE 的简单模仿,而是针对其结构性短板的系统性回应:
从 NVD CPE 到 CNNVD PAV,不只是一份数据标准的替代,更是网络安全"发现能力"从"依赖他人"走向"自主可控"的关键一步。当影响产品数据的源头掌握在自己手中,构建其上的资产关联、漏洞发现、风险研判,才真正拥有了坚实、可持续的底座。
摄星科技参与了CNNVD PAV规范和设计工作,并提前进行数据兼容、场景应用和产品功能布局。以CNNVD PAV 为数据基石,将其能力工程化落地。
以资产名称与版本,去碰撞"漏洞影响产品(PAV)"库,通过数据匹配与关联分析找出存在的漏洞。零部署、无扫描、不接触,情报即时、全网覆盖、成本低。
「资产—漏洞」管理能力落地包括新漏洞爆发排查、信创国产化漏洞识别、供应链数据、全网合规排查、态势感知联动、应急响应通报等六大典型场景,贯穿合规、信创、供应链、应急。
借助 CNNVD PAV 自主、全面、可机读的影响产品数据,四相平台让"资产↔漏洞"关联重新"看得见",不再受制于境外源头的富化节奏,在漏洞激增与扫描空窗期的双重压力下,依然能够快速、准确、低成本地定位受影响资产。
长按扫描二维码添加
摄星网络安全专家企微进行深度交流

