由美国非营利研究机构MITRE主导的“通用漏洞与暴露(CVE)”计划,其资金支持于4月16日到期。这一全球网络安全领域的基石项目,长期以来在漏洞管理和防御方面发挥着举足轻重的作用。然而,由于美国国土安全部(DHS)未续签MITRE的资助合同,CVE项目的持续运营面临中断的风险。此举引发了全球安全行业的广泛关注,业界普遍担忧,CVE的停摆可能会导致全球漏洞管理体系的崩塌,进而威胁到网络安全防护的整体效果。
01 25年全球漏洞生态体系或将停摆
CVE(Common Vulnerabilities and Exposures,常见漏洞与暴露)项目自1999年启动以来,一直是全球网络安全漏洞管理的核心工具。该系统通过为公开披露的网络漏洞分配唯一标识符(CVE ID),使得安全研究人员、厂商和政府机构能够在全球范围内高效地共享、追踪和修复漏洞。每个CVE编号由字母“CVE”加上年份和数字组成,如CVE-2022-27254。
CVE的标准化系统在信息安全领域有着举足轻重的地位,它为多个行业提供了核心数据支持,广泛应用于漏洞管理、网络威胁情报、安全信息与事件管理(SIEM)、终端检测与响应(EDR)等多个领域。微软、Google、苹果、英特尔、AMD等全球大型科技公司都在依赖这一平台进行漏洞识别和修复。
然而,MITRE近日确认,CVE项目的资金合同在2025年4月16日到期,且美国政府尚未为项目续约。此举意味着,CVE项目的持续运营将面临巨大的不确定性,尤其是在当前全球网络安全防御压力增大的背景下。MITRE副总裁兼国土安全中心主任Yosry Barsoum表示:“政府将继续支持MITRE在该项目中的作用,MITRE也将继续致力于将CVE建设为全球公共资源。”然而,由于资金停止,CVE的正常更新、漏洞数据的管理和发布将面临停滞。
此次资金危机并非偶然。在美国政府削减开支的大背景下,网络安全预算面临巨大压力。特朗普政府实施的“政府效能改革”计划大幅削减了财政支出,而CISA作为网络安全防御的核心机构,受到了严重影响。虽然CVE项目的预算相对较小,但其对全球网络安全防护的影响却远远超出了预算的规模。
02 停摆危机引发行业广泛担忧
CVE项目的停摆不仅是MITRE的资金问题,更是全球网络安全领域的重大危机。CVE数据库为全球网络安全防御提供了基础的数据支持,几乎所有的关键漏洞管理和修复系统都依赖CVE提供的统一标准。CVE不仅帮助各方记录和分类漏洞,还为漏洞评估、补丁管理、攻击预测等安全决策提供了关键数据。
美国网络安全和基础设施安全局(CISA)定期使用CVE编号发布漏洞警报,并向企业和政府部门提供修复建议。若CVE项目停摆,将直接影响到这些警报的发布和修复行动,进而威胁到国家关键基础设施和全球企业的安全。
CVE项目的终止或停摆引发了全球网络安全领域的广泛关注和担忧。安全专家普遍认为,CVE的失效将导致漏洞管理生态系统的崩溃,供应商、分析师与防御者之间的沟通将陷入混乱,严重影响漏洞的追踪和修复。
兰德公司高级政策研究员Sasha Romanosky表示:“CVE编号及漏洞分配是漏洞生态系统的基石,失去它,我们将无法高效地追踪新发现的漏洞,评估其严重性和利用风险,也无法做出最佳的修复决策。”Bitsight首席科学家Ben Edwards则指出:“CVE是全球网络安全中不可替代的资源,失去它将对整个安全生态系统造成灾难性影响。”Security Errata首席安全官Brian Martin也警告称,若CVE停摆,首先将导致CVE编号分配中断,国家漏洞数据库(NVD)将无法继续处理和更新漏洞记录,全球范围的漏洞共享与管理将面临重大混乱。
03 全球网络安全防护遭严峻考验
CVE项目一旦停摆,将对全球漏洞管理生态造成深远的影响。缺乏统一、标准化的漏洞信息来源,私营公司和政府机构的漏洞管理体系将陷入瘫痪。网络安全公司VulnCheck的研究员Patrick Garrity指出,CVE的停摆将使漏洞生态系统更加脆弱,防御者将失去可靠的漏洞信息来源,从而严重影响漏洞修复和网络安全防护的整体效果。全球网络安全社区将面临信息孤岛和数据缺失的困境。
美国CISA,作为CVE的主要资助方,已经表示正在采取紧急措施以减轻这一危机的影响,努力通过其他途径维持CVE服务的持续性。然而,在短期内找到有效的替代方案,特别是在保持漏洞管理体系稳定方面,仍然是一个巨大的挑战。
如果无法及时找到资金支持或其他替代方案,CVE的停摆将对全球的漏洞管理、威胁情报共享、补丁管理、网络安全防护等多个领域产生灾难性的影响。当前,全球各大安全机构、公司和政府部门都在密切关注这一事态发展,力图找到切实可行的应对措施,避免这场危机的蔓延。
发表评论
您还未登录,请先登录。
登录