2025年9月10日，美国网络安全与基础设施安全局（CISA）发布题为《CISA战略重点：CVE质量，打造网络安全未来》（CISA Strategic Focus CVE Quality for a Cyber Secure Future）的愿景文件，明确了通用漏洞披露（CVE）计划的优化方向和优先事项，旨在满足全球网络安全社区的实际需求。

愿景文件确立了以“信任、响应速度、漏洞数据质量”为核心的发展主线，标志着CVE计划从聚焦规模扩张的“增长时代”正式迈入以质量提升为核心的“质量时代”。这一转型将对全球网络安全防御体系的构建逻辑和演进路径产生深远影响。

CISA在愿景文件中强调，CVE计划是网络安全领域不可或缺的公共产品，其治理需坚守三大核心原则：一是秉持“无冲突、供应商中立”的管理理念，确保决策和服务不偏向任何特定利益主体；二是广泛开展跨部门协作，吸纳全球网络安全生态中的多元主体参与；三是保障流程透明化和领导责任可追溯。同时，CISA重申，CVE的核心原则是必须保持免费且公开可访问的属性。这一原则是全球网络防御协同开展的基础，也是安全工具创新的重要驱动力，能够为全球各行业及政府部门的防御者提供关键支撑。

为推动CVE计划平稳步入“质量时代”，CISA明确了以下战略方向，这些方向构成了项目优化的核心行动框架：

（1）扩大社区伙伴关系。增强CVE计划咨询委员会的生态代表性，确保该委员会涵盖国际组织、各国政府、学术界、漏洞工具提供商、数据消费方、安全研究人员、运营技术行业以及开源社区等多元主体，通过更广泛的协作汇聚全球智慧。

（2）保障政府资助与可持续性。CISA将持续为CVE计划的基础设施和核心服务提供资金支持，同时响应社区需求，评估多元化的资金来源机制，为项目的长期稳定运行提供财务保障。

（3）推进现代化改进。加快CVE计划基础设施的现代化升级和增值服务开发，着重提升自动化处理能力，优化CVE编号机构（CNAs）服务流程，拓展面向下游数据消费者的应用程序编程接口（API）支持功能，同时对CVE.org平台的用户体验和效能进行优化。

（4）强化透明度与沟通机制。建立常态化的社区反馈渠道，将反馈意见系统地纳入计划路线图的制定中；定期向全球社区通报计划的里程碑进展和绩效指标，并与全球合作伙伴保持开放、持续的对话，确保信息对称。

（5）提升数据质量。推动制定CVE记录质量最低标准，拓展漏洞数据增强能力，并积极探索引入自动化技术、机器学习及人工智能等先进手段，提升CVE数据的准确性与完整性。

信息来源：

https://www.cisa.gov/news-events/news/cisa-presents-vision-common-vulnerabilities-and-exposures-cve-program

https://www.sicsi.org.cn/news/843/