2026年6月10日，美国网络安全和基础设施安全局（CISA）发布强制性操作指令BOD26-04《基于风险的优先实施安全更新》（PrioritizingSecurityUpdatesBasedonRisk）。将漏洞修复政策分为3天（并强制开展取证研判）到“升级时再修复”等五档修复时限。标志着美联邦漏洞管理从“统一时限、全量打补丁”向“基于风险的分级优先”的范式转变。

此指令是由政府主导的、全球第一个国家级漏洞优先级强制性操作指令。对于我国漏洞管理工作具有较大的示范和借鉴作用。

一、传统漏洞管理正面临着结构性困境

1.1传统“全量修复”模式难以为继

传统漏洞管理严重依赖漏洞级别（高、中、低等）或厂商补丁周期。有限的修复资源和能力被均摊，真正能造成危害的漏洞反而得不到聚焦。

1.2漏洞修复效能持续下滑

CISA援引2026年《Verizon数据泄露调查报告》（DBIR）指出：2025年仅有26%的CISAKEV漏洞被完全修复，低于前一年的38%。而漏洞完全修复的中位时间已上升至43天。在漏洞披露后数小时后内即可能发生漏洞利用和入侵行为的趋势下，这一“修复缺口”正在不断扩大。防御方正在以肉眼可见的速度落后于攻击方。

修复成效走弱与修复周期拉长（数据来源：Verizon2026DBIR）

1.3AI压缩漏洞“披露—武器化”时间窗口

AI正在加速漏洞从发现与武器化的速度，进一步压缩了漏洞披露与被利用之间的时间窗口。AI在漏洞发现、利用代码开发、目标选择与作战执行等各个环节都在加速攻击者的工作流。攻击者越来越快，防御者越来越落后。包括国家级支持的恶意行为者在内的攻击方频繁利用已知被利用漏洞，攻击关键基础设施、窃取敏感信息、扰乱运行并破坏网络、信息和数据安全。

1.4打补丁不等于安全了

漏洞修复工作存在一个长期被忽视的事实：由于修复速度（天）晚于攻击者的速度（小时），有可能在漏洞修复之前已经被入侵。对一个已经被武器化的漏洞而言，单纯打补丁通常并不能把已经潜入的攻击者赶出系统。因此在修复武器化漏洞的之前需要审慎判断系统是否已被攻陷，对于真正管控风险至关重要。

1.5缺少权威的漏洞优先级指令

长期以来，业内缺少一个权威的、可执行的漏洞优先级处理方法。用户根据自身经验各行其事，在合规和安全防御边缘行走。在修复能力有限的现实下，亟需有一个清晰的机制来决定“当资源不足时，哪些漏洞应当最先处理”。

二、BOD26-04产生背景

强制性操作指令（BindingOperationalDirective,BOD）是依据美国法典第44编第3552(b)(1)条授予的、对联邦行政部门具有强制约束力的指令。

在BOD26-04之前，美联邦漏洞修复主要由两项指令支撑：2019年的BOD19-02（面向互联网可达系统的漏洞修复要求）与2021年的BOD22-01（降低已知被利用漏洞的重大风险）。后者建立了广为人知的“已知被利用漏洞目录”（KEVCatalog），要求各运营者对KEV漏洞按统一时限积极修复。

BOD26-04在KEV目录的基础上演进，整合并澄清了既有修复指南，同时取代并废止了上述两项指令，意味着联邦民口部门在漏洞优先级排序中不再强制使用CVSS评分。

BOD26-04旨在在KEV目录基础上演进，通过高效优先处理高风险漏洞、对低风险漏洞从缓办理，提升整个联邦政府的任务就绪度。与此同时，指令配套发布了实施指南，并将以滚动方式持续更新，体现出CISA期望以更现代化的资产与流程能力来更新修复要求的意图。

三、BOD26-04内容和要点

3.1四个风险变量

BOD26-04摒弃了以静态严重性评分为中心的做法，转而以四个二元变量来判定修复的紧迫程度。其中“公网暴露”由运营者自行判定，其余三项由CISA通过CVE的漏洞数据富化（Vulnrichment）计划项目提供。

CISA的Vulnrichment仅覆盖部分CVE的SSVC信息（数据显示约45.8%的CVE有SSVC覆盖），其余过半CVE的“可自动化”与“技术影响”仍需运营者或借助第三方情报自行评估。

3.2从四变量到五档时限：SSVC决策

指令以“特定干系人漏洞分类法”（Stakeholder-SpecificVulnerabilityCategorization,SSVC）为方法论，将四个变量的16种组合映射到五个修复时效档位。修复的紧迫程度随漏洞满足的高风险条件数量而升级。

一个关键特性是时限的动态性：若运营者将某资产撤出公网暴露，适用时限随之放宽；反之，若CISA将某漏洞新增至KEV目录，其修复时限立即收紧。使得漏洞修复优先级与真实风险状态实时联动，而非一次性静态判定。

四、BOD26-04作用和价值

BOD26-04并未改变漏洞管理的根本目标：降低已知漏洞被用于攻击的可能性，它改变的是“决定先修什么”这一环节所要求的精度。

运营者必须具备对“哪些资产面向互联网”的实时可见性，一旦某资产由内部转为公网暴露，其修复时限立即变化。缺乏持续资产发现与暴露面识别能力的运营者，将难以满足指令的分级与动态时限要求。要求运营者从“周期性扫描+CVSS排序”转向“持续资产发现+基于风险的优先级+暴露面管理”。

4.1战略意义

▪ 国家安全维度：国家级攻击者频繁以KEV漏洞为入口攻陷关键基础设施；以风险为序集中修复高危漏洞，可直接压缩联邦企业最关键的攻击面，提升整体任务韧性。

▪ 政策范式转变：正式确立从“全量打补丁”到“基于风险的暴露面治理”的转向，将多年来业界倡导的风险驱动理念上升为联邦政策。

▪ AI时代的对冲：针对AI压缩“披露—武器化”窗口的趋势，提供一套告诉防御方“先修什么、以何种速度修”的框架，与国家AI安全行政令协同。

▪ 事实标准外溢：凭借KEV的既有影响力，四变量模型有望外溢为私营部门、州地方政府与国际盟友的事实标准，放大政策的网络效应。

4.2战术作用

▪ 可执行的决策法：把抽象的“风险”转化为四个可回答的问题与明确的修复时限，使一线团队能在统一工作流中即时定档。

▪ 提升任务就绪度：通过高效优先处理高风险漏洞、对低风险漏洞从缓，压缩联邦企业最关键的攻击面，同时为低风险问题保留灵活性。

▪ 资源的合理聚焦：把稀缺的修复能力（人力、测试与停机窗口）从“均摊到一切”转为“集中于少数真正可能演变为事件的漏洞”。

▪ 准确的资产上下文：促使运营者掌握资产是否面向互联网、是否业务关键、是否连接敏感系统等上下文，没有资产上下文就无法准确排序。

▪ 威胁情报的贯通：将已知被利用、可利用性、可自动化等情报，嵌入团队实际作出修复决策的同一工作流中。使优先级始终贴合当前风险。

▪ 多紧迫度的修复能力：3天的最高档要求安全、IT运维、系统责任人与事件响应之间的紧密协同，倒逼运营者建立分级响应能力。

▪ 可问责的治理：BOD26-04把优先级从一个技术队列上升为治理问题。运营者必须能够解释“为何某些漏洞被优先修复”，并对照CISA定义的时限展示进展，形成可解释、可审计的证据链。

BOD26-04既是一项面向国家网络安全态势的战略部署，也是一套可直接落地执行的战术工具。价值不止于“更快打补丁”，而在于建立一套面向真实风险、可聚焦、可联动、可问责的现代化暴露面治理机制。

五、摄星四相中的漏洞优先级技术

摄星四相资产漏洞运营管理平台，以资产为锚，在AI漏洞海啸压力下，将漏洞风险治理成可度量、可追溯、可交付的安全运营成果。

漏洞优先级管理是四相平台重要的能力之一，并非只是简单的优先级排序，而是一套完整的、动态的管理机制。

▪ 丰富准确的资产上下文：通过资产关系治理、资产数据治理、资产BOM治理为漏洞优先级评估提供准确、丰富的资产上下文信息；

▪ 即时漏洞情报能力：内置Tenable、微步在线、玄猫漏洞情报接口，纬度丰富，使得优先级紧贴最新漏洞风险；

▪ 模型与自动化：内置灵活的多维度优先级评估模型，兼容BOD26-04，结合用户自定义纬度进行自动化计算和排布；

▪ 动态调整：漏洞修复优先级与真实风险状态实时联动，紧贴最新合规要求和安全风险。消除“静态”评估带来的各类问题；

▪ 自动编排：优先级与漏洞流程紧密结合，自动计算优先级后根据规则自动进入漏洞流转的流程当中，极大提升响应时效性。