有 25 年历史的 CVE 项目在漏洞管理中起到了举足轻重的作用,它负责分配和管理漏洞的唯一 CVE ID 编号,确保在提及特定漏洞和补丁时针对的是同一个漏洞。
非营利组织 MITRE 与美国国土安全部签订了运营 CVE 项目的合同,MITRE 周二确认,合同没有续签。这意味着从 4 月 16 日(星期三)起美国政府将停止资助 CVE。安全行业人士担心在其他人接手前漏洞管理上将会出现巨大混乱。
CVE Naming Authority 机构 VulnCheck 表示预留了 1000 个 1000 个 CVE 用于 2025 年的漏洞。MITRE 每月发布 300-600 个 CVE,预留的编号只够用 2-3 个月。
为了应对危机,长期担任 CVE 董事会成员的联盟宣布成立 CVE 基金会,这是一个致力于确保漏洞识别系统持续运行的非营利组织。
新成立的基金会官员肯特·兰德菲尔德表示:“CVE 作为全球网络安全生态系统的基石,其重要性不容忽视。全球网络安全专业人员的日常工作——从安全工具和公告到威胁情报和响应——都依赖于 CVE 标识符和数据。如果没有 CVE,防御者在应对全球网络威胁时将处于极其不利的地位。”
CVE 计划提供了一个标准化的系统,用于识别和分类所有软件和硬件(包括 Apple 的 macOS、iOS、iPadOS 和其他产品)中的安全漏洞。当安全研究人员发现漏洞时,他们会被分配唯一的 CVE 标识符,以便 Apple 等公司协调补丁和更新。
MITRE 公司与美国国土安全部签订了合同,负责管理该项目。该公司确认,政府资金已于4月16日到期。
据路透社报道,该项目的到期可能与联邦政府正在进行的大规模裁员有关,此次裁员的部分原因是政府效率部(DOGE)。
受此次裁员影响的美国网络安全和基础设施安全局(CISA)表示,由于突然出现的资金缺口可能会扰乱全球漏洞管理,该局正在“紧急努力减轻影响”。
安全专家警告称,如果没有CVE,网络安全工作将面临“彻底混乱”,因为用于沟通漏洞的通用语言实际上将消失。一位研究人员将其比作“突然删除所有词典”。
新成立的CVE基金会旨在将该项目转型为不依赖单一政府资助的专门的非营利模式。基金会的组织者透露,他们过去一年一直在为这一可能性做准备。
该基金会在公告中表示:“对于国际网络安全界来说,此举代表着一个建立反映当今威胁形势全球性的治理机制的机会。”
资金削减还影响了相关的通用弱点枚举 (CWE) 计划,该计划帮助苹果等公司在潜在安全问题成为漏洞之前发现它们。
CVE 基金会预计将在未来几天公布更多有关其架构和资金计划的细节。苹果和其他大型科技公司可能会在支持其成为网络安全基础设施关键组成部分方面发挥重要作用。