(图片来源:Jerome460 / Shutterstock)
25年漏洞追踪体系即将终结
美国非营利研发组织MITRE宣布,其与美国国土安全部(DHS)签订的"通用漏洞披露(CVE)"数据库维护合同将于2025年4月16日午夜到期。这个运行25年的项目作为网络安全防御体系的核心支柱,因DHS未说明具体原因拒绝续约而面临终止。
MITRE国土安全中心主任Yosry Barsoum在致CVE委员会的信函中证实:"2025年4月16日(周三),MITRE用于开发、运营和现代化CVE®项目及相关计划(如通用缺陷枚举CWE™项目)的资金将终止。政府仍在大力支持MITRE在项目中的角色,MITRE也始终将CVE视为全球公共资源。"
业界痛斥"悲剧性决定"
兰德公司高级政策研究员Sasha Romanosky将CVE项目的终结称为"悲剧",这一观点得到众多网络安全专家的认同。他表示:"CVE编号及软件版本漏洞分配是整个漏洞生态系统的基石。失去它,我们将无法追踪新发现漏洞、评估严重性、预测利用风险,更无法做出最佳修复决策。"
Bitsight首席科学家Ben Edwards表示:"这令人深感遗憾。CVE是绝对值得持续资助的宝贵资源,不续约是个错误决策。"他补充道:"希望中断只是暂时的。若合同最终未能续签,生态系统中其他利益相关方或许能接手MITRE的工作。得益于该系统的联邦架构和开放性,这种过渡存在可能,但转移运营主体必将充满挑战。"
全球网络安全基石崩塌
MITRE的CVE项目是全球网络安全生态的基础支柱,已成为识别漏洞和指导防御者实施漏洞管理的事实标准。它为供应商产品提供核心数据支撑,涉及漏洞管理、网络威胁情报、安全信息与事件管理(SIEM)、终端检测与响应(EDR)等多个领域。
尽管美国国家标准与技术研究院(NIST)通过国家漏洞数据库(NVD)对CVE记录进行补充,网络安全与基础设施安全局(CISA)也因NVD资金短缺启动"漏洞增强"计划协助完善记录,但MITRE始终是CVE记录的原始发布者和安全缺陷识别的主要来源。
安全项目Security Errata首席安全官、前CVE委员会成员Brian Martin在LinkedIn警告:"若MITRE资金链断裂,将立即引发全球范围的连锁反应——首先,联邦模型和CVE编号机构(CNA)无法再分配ID并提交MITRE快速发布;其次,这直接动摇本已举步维艰的NVD数据库根基(当前积压超3万个未处理漏洞,另有8万个被'暂缓'分析);再者,所有依赖CVE的厂商需另寻情报源;最后,各国CERT机构将失去免费漏洞情报渠道。"
预算削减背后的政治因素
在持续资助这个备受推崇的项目25年后,DHS突然终止合同的原因尚不明确。有分析指出,特朗普政府通过埃隆·马斯克主导的"政府效能改革"计划大幅削减财政支出,网络安全与基础设施安全局(CISA)成为重灾区——尽管该局已经历两轮裁员,近40%(约1300名)员工仍面临解雇。但知情人士透露,相比联邦政府其他部门的预算削减,维持CVE项目的开支微不足道,"根本不会造成财政压力"。
后续影响与行业应对
接近CVE项目的消息人士称,自4月15日午夜起,MITRE将停止更新漏洞数据库(历史记录仍存于GitHub)。真正的悬念在于私营领域能否出现替代方案。
威胁情报公司VulnCheck研究员Patrick Garrity表示:"在NVD数据库去年崩溃后,当前漏洞生态系统本就脆弱。CVE项目若受影响,将对防御者和安全社区造成严重伤害。"该公司已提前预留1000个2025年CVE编号,承诺继续为社区提供服务。
CISA发言人向CSO表示:"作为CVE项目主要资助方,我们正紧急采取措施减轻影响,维护全球依赖的CVE服务。"该程序被政府和产业界共同用于披露、分类和共享可能危及国家关键基础设施的技术漏洞信息。
cv2.Canny)
