CISA推出KEV漏洞提報表單強化已遭利用漏洞通報管道

2026 年 5 月 21 日,CISA 宣布正式推出 KEV 漏洞提報表單(Known Exploited Vulnerabilities Nomination Form),開放安全研究人員、供應商與產業夥伴直接向 CISA 通報已在野外(in-the-wild)遭實際利用的漏洞,以加快 KEV 目錄的更新速度。

背景

CISA 的 KEV(Known Exploited Vulnerabilities)目錄是美國聯邦機構強制要求修補的漏洞清單,亦廣受民間企業用於優先排序修補工作。過去目錄更新依賴 CISA 內部研究與政府情資管道,此次提報表單的推出是首度系統化開放外部通報。

機制說明

提報者須提供三項必要資訊:

  1. 漏洞 CVE 編號 — 可識別漏洞身份
  2. 遭到利用的證據 — 如威脅情資、入侵指標(IoC)、公開報告
  3. 緩解或修補指引 — 協助受影響組織採取防護措施

CISA 收到提報後將進行驗證,符合條件者納入 KEV 目錄並通報聯邦機構限期修補。

重要性

  • 加速情資流動:公私部門研究人員可直接輸入資料,縮短漏洞揭露到 KEV 收錄的時間差
  • 鼓勵誠信研究:為研究人員提供官方通報管道,有助降低負責任揭露的障礙
  • 提升 KEV 完整性:引入更多情資來源,減少因資訊孤島造成的目錄遺漏

相關背景事件

此公告發布於 CISA 自身 2026 年 5 月曝發 GitHub 金鑰外洩事件(AWS GovCloud 憑證外洩)後約一周,外界觀察 CISA 同時強化外部協作能量與內部安全管控。

來源文章

相關頁面