MITRE 也被砍预算了,如果没了 CVE,只看 CNVD 是不足够的

作者:Sender Su  来源:本站  发布日期:2025-04-16  最后修改日期:2025-04-16

最新消息:美国政府为非营利研究巨头 MITRE 运营和维护其常见漏洞和暴露 (CVE) 计划提供的资金将于2025年4月16日到期![1]

就是今天!

article banner of 485

笔者:国际注册信息系统审计师、软考系统分析师、软件工程硕士

题图照旧是笔者自行拍摄。

CVE 是非常有价值的漏洞信息源和漏洞管理工具,其重要性对于网络安全相关人员来说不言而喻。

对于不太了解 CVE 的读者,简单说就是 CVE 是公共性质的漏洞识别、定义、编目和公开的事实标准工具[2]。自1999年启动以来,CVE 面向全球收录漏洞信息,已经维持运作了25年,属于互联网安全基石之一。

据称,被砍预算之后,MITRE 将会减少甚至暂停 CVE 的后续发布。虽然负责进行 CVE 编号的 VulnCheck 说会做好一定的应对措施比如保留 CVE 空白编号之类,但这和实际的 CVE 发布完全是两回事。

所以,可以肯定的是,除非预算恢复,否则新漏洞的发布速度会大幅度降低甚至停止,所有依赖于 CVE 实现漏洞管理的安全工具都会出问题。

从攻击侧看,这事情就等于是为攻击者创造了广泛的空窗期。

还有就是,CVE 的下游衍生项目 Common Weakness Enumeration(CWE) [3] 也会因此受到影响。

CWE 这个项目可能关注的人相对较少,但这个项目的重要性在于产生漏洞的实质影响、修复漏洞的工作优先级等风险评估关键参数,如果 CWE 一同停摆,不少网络安全风险评估模型就要重新确定。

最后就说到国内 CNVD 国家信息安全漏洞共享平台[4]。CNVD 主要面向国内网络环境,而且 CVND 定义的大部分漏洞和 CVE 并不重合,两者在信息源上是互补关系,所以没法简单地用 CNVD 直接取代 CVE 的真空期。

不过乐观一点看,或者 CVE 停摆能促进 CNVD 跨越式、进一步发展也未为可知。

相关链接:

1、U.S. Govt. Funding for MITRE's CVE Ends April 16, Cybersecurity Community on Alert

https://thehackernews.com/2025/04/us-govt-funding-for-mitres-cve-ends.html

2、Common Vulnerabilities and Exposures

https://cwe.mitre.org/

3、Common Weakness Enumberation

https://cwe.mitre.org/

4、国家信息安全漏洞共享平台

https://www.cnvd.org.cn/

~ 完 ~

本栏目相关
  •  2025-04-17 预算展期,CVE 暂免关门,但国内漏洞信息库发展契机仍存
  •  2023-11-22 勒索软件团伙为了让受害者掏钱,居然直接报告给监管部门
  •  2024-03-19 电影《沙丘》中的零信任和风险管理(剧透)
  •  2024-10-10 网络安全日志保留6个月?可能要三年。
  •  2024-09-08 CISecurity.org 已经拒绝中国大陆 IP 地址访问
  •  2024-05-28 微软 AI PC 的新功能“回顾”一定是个大坑
  •  2024-07-20 软件供应链安全应敲响警钟:从CrowdStrike搞蓝了Windows所思
  •  2024-07-29 “观星者哥布林”的警示:瞄准病急乱投医的软件供应链水坑攻击
  •  2024-12-20 从香港网络安全立法看网络安全技术论坛2024,以及对甲方的网安教育
  • 本站微信订阅号:

    微信订阅号二维码

    本页网址二维码:

    本栏目热门内容
  • WSUS 行将就木:微软决定放弃这款差强人意的更新管...
  • 评论:关于DBA这个角色职业未来之我见
  • 勒索软件团伙为了让受害者掏钱,居然直接报告给监管...
  • 评论:我对终身学习的看法和自己的方法
  • 评论:都一窝蜂地迁移基础设施......但真准备好了?...
  • 电影《沙丘》中的零信任和风险管理(剧透)
  • 国产化替代:资源有限的甲方如何选择操作系统?
  • 信息化项目甲方避坑指东之一
  • 网络安全日志保留6个月?可能要三年。
  • CISecurity.org 已经拒绝中国大陆 IP 地址访问
  • 微软 AI PC 的新功能“回顾”一定是个大坑
  • 信息化项目甲方避坑指东之二
  • 软件供应链安全应敲响警钟:从CrowdStrike搞蓝了Win...
  • “观星者哥布林”的警示:瞄准病急乱投医的软件供应...
  • 数据分类分级不是皇帝的新衣,是甲方信息化部门的尚...
  • 从香港网络安全立法看网络安全技术论坛2024,以及对...
  • 蓝屏不会是最后一次:盘点杀毒软件反杀操作系统的历...
  • 中国·广州 2024年国家网络安全宣传周现场精彩一瞥
  • 从香港网络安全峰会2024观察香港网安市场机遇
  • 信息化项目甲方避坑指东之三
  • 安全加固必须要有可人读的基准文本而不是傻瓜式的黑...
  • BASIC 语言发明人去世,想起自己用过很多种 BASIC
  • 国产化替代:操作系统厂商需要加快制订加固基准
  • 高“效”运维已死,高质运维永生
  • 香港网络安全峰会2024所见
  • 守好两高一弱很难?
  • IT环境多样性:供应链安全和网络弹性之源!
  • 采购使用传呼机、对讲机归谁管?
  • 信息系统运维外包的可靠性是数据安全最大的坑
  • 更多...