CISA推出KEV漏洞提報表單強化已遭利用漏洞通報管道
2026 年 5 月 21 日,CISA 宣布正式推出 KEV 漏洞提報表單(Known Exploited Vulnerabilities Nomination Form),開放安全研究人員、供應商與產業夥伴直接向 CISA 通報已在野外(in-the-wild)遭實際利用的漏洞,以加快 KEV 目錄的更新速度。
背景
CISA 的 KEV(Known Exploited Vulnerabilities)目錄是美國聯邦機構強制要求修補的漏洞清單,亦廣受民間企業用於優先排序修補工作。過去目錄更新依賴 CISA 內部研究與政府情資管道,此次提報表單的推出是首度系統化開放外部通報。
機制說明
提報者須提供三項必要資訊:
- 漏洞 CVE 編號 — 可識別漏洞身份
- 遭到利用的證據 — 如威脅情資、入侵指標(IoC)、公開報告
- 緩解或修補指引 — 協助受影響組織採取防護措施
CISA 收到提報後將進行驗證,符合條件者納入 KEV 目錄並通報聯邦機構限期修補。
重要性
- 加速情資流動:公私部門研究人員可直接輸入資料,縮短漏洞揭露到 KEV 收錄的時間差
- 鼓勵誠信研究:為研究人員提供官方通報管道,有助降低負責任揭露的障礙
- 提升 KEV 完整性:引入更多情資來源,減少因資訊孤島造成的目錄遺漏
相關背景事件
此公告發布於 CISA 自身 2026 年 5 月曝發 GitHub 金鑰外洩事件(AWS GovCloud 憑證外洩)後約一周,外界觀察 CISA 同時強化外部協作能量與內部安全管控。
來源文章
- ithome-2026-05-23-cisa-kev-nomination-form-176065 — 原始來源(iThome 2026-05-23)
相關頁面
- cisa — CISA 機構頁面
- CISA GitHub儲存庫暴露844MB機密資料事件2026 — 同期 CISA 金鑰外洩事件
- AI輔助漏洞發掘導致CVE揭露量攀升趨勢2026 — 漏洞通報生態背景