MITRE 也被砍预算了,如果没了 CVE,只看 CNVD 是不足够的
最新消息:美国政府为非营利研究巨头 MITRE 运营和维护其常见漏洞和暴露 (CVE) 计划提供的资金将于2025年4月16日到期![1]
就是今天!
笔者:国际注册信息系统审计师、软考系统分析师、软件工程硕士
题图照旧是笔者自行拍摄。
CVE 是非常有价值的漏洞信息源和漏洞管理工具,其重要性对于网络安全相关人员来说不言而喻。
对于不太了解 CVE 的读者,简单说就是 CVE 是公共性质的漏洞识别、定义、编目和公开的事实标准工具[2]。自1999年启动以来,CVE 面向全球收录漏洞信息,已经维持运作了25年,属于互联网安全基石之一。
据称,被砍预算之后,MITRE 将会减少甚至暂停 CVE 的后续发布。虽然负责进行 CVE 编号的 VulnCheck 说会做好一定的应对措施比如保留 CVE 空白编号之类,但这和实际的 CVE 发布完全是两回事。
所以,可以肯定的是,除非预算恢复,否则新漏洞的发布速度会大幅度降低甚至停止,所有依赖于 CVE 实现漏洞管理的安全工具都会出问题。
从攻击侧看,这事情就等于是为攻击者创造了广泛的空窗期。
还有就是,CVE 的下游衍生项目 Common Weakness Enumeration(CWE) [3] 也会因此受到影响。
CWE 这个项目可能关注的人相对较少,但这个项目的重要性在于产生漏洞的实质影响、修复漏洞的工作优先级等风险评估关键参数,如果 CWE 一同停摆,不少网络安全风险评估模型就要重新确定。
最后就说到国内 CNVD 国家信息安全漏洞共享平台[4]。CNVD 主要面向国内网络环境,而且 CVND 定义的大部分漏洞和 CVE 并不重合,两者在信息源上是互补关系,所以没法简单地用 CNVD 直接取代 CVE 的真空期。
不过乐观一点看,或者 CVE 停摆能促进 CNVD 跨越式、进一步发展也未为可知。
相关链接:
1、U.S. Govt. Funding for MITRE's CVE Ends April 16, Cybersecurity Community on Alert
https://thehackernews.com/2025/04/us-govt-funding-for-mitres-cve-ends.html
2、Common Vulnerabilities and Exposures
3、Common Weakness Enumberation
4、国家信息安全漏洞共享平台
~ 完 ~
本站微信订阅号:
本页网址二维码: