CVE 漏洞项目及时"续命",11个月后生死难料

新闻
10天前

2025年4月15日,美国非营利研发组织MITRE宣布,其与美国国土安全部(DHS)签订的"通用漏洞披露(CVE)"数据库维护合同将于2025年4月16日午夜到期。这个运行25年的项目作为网络安全防御体系的核心支柱,因美国国土安全部未说明具体原因拒绝续约而面临终止。

1280X1280_副本.png

媒体广泛报道后,在合同即将到期的最后时刻,2025 年 4 月 16 日星期三上午,美国国土安全部下属单位网络安全和基础设施安全局(CISA) 与MITRE 签署了一份11个月的合同延期,未来会怎么很难说,毕竟CISA已经历两次资金削减,40%的员工(约1300名)被解雇。

然而,这一事件暴露了CVE项目对美国政府资助的高度依赖性。为确保项目的可持续性和中立性,部分CVE董事会成员提出成立独立的非营利组织“CVE基金会”,以推动项目向社区驱动模式转型。


01

或引发“多米诺骨牌效应”


美国国家漏洞数据库NVDNational Vulnerability Database),由美国国家标准与技术研究院(NIST)维护,基于CVE编号,提供更详细的漏洞信息,包括CVSS评分、CWE分类、CPE产品标识、受影响产品列表等,支持自动化的漏洞管理和合规性检查。

通俗讲,CVE提供漏洞的唯一标识,而NVD则对这些漏洞进行深入分析和补充信息。

关于NVD的未来,确实存在一些挑战。由于预算削减,NVD在处理和丰富新漏洞信息方面出现了显著的积压,自2024年2月12日以来,超过90%的提交未被分析,这对依赖NVD数据的组织构成了风险。

如果CVE项目终止,对中国安全厂商的影响:

  • 漏洞识别与追踪困难:CVE为全球漏洞提供统一编号,终止后将导致漏洞信息碎片化,增加漏洞识别和追踪的难度。

  • 安全产品功能受限:许多安全工具依赖CVE数据进行漏洞检测和管理,CVE项目的终止可能导致这些工具功能受限,影响产品的有效性。

  • 供应链安全风险增加:CVE项目的终止将影响全球供应链的漏洞管理,增加中国企业在供应链安全方面的风险。


02

CVE项目发展历程与关键节点


CVE(Common Vulnerabilities and Exposures,通用漏洞披露)项目是全球网络安全领域的基石之一,由美国非营利组织MITRE于1999年发起,旨在为公开披露的网络安全漏洞分配唯一标识符(如CVE-2021-44228),以促进全球范围内的信息共享、漏洞管理和响应协调。

  • 1999年9月:CVE项目正式向公众发布,初始包含321条漏洞记录,解决了当时各安全工具和数据库对同一漏洞使用不同命名的问题。

  • 2000年代初:CVE被广泛采纳,成为美国国家漏洞数据库(NVD)等系统的基础。

  • 2010年代:CVE项目扩展为全球协作网络,超过100家组织参与,涵盖18个国家,形成CNA(CVE Numbering Authorities)体系,分布式管理漏洞编号。

  • 2020年代:CVE数据库持续扩展,记录数量突破27万条,成为微软、谷歌、苹果、英特尔等科技巨头依赖的核心资源。



03

潜在影响与未来展望


尽管当前危机暂时缓解,但长期的不确定性仍可能带来以下影响:

  • 漏洞披露延迟:CVE编号的缺失可能导致厂商和研究人员在披露漏洞时出现混乱,影响补丁发布的及时性。

  • 安全工具失效:依赖CVE编号的安全扫描器、SIEM系统和威胁情报平台可能因数据中断而功能受限。

  • 全球协调受阻:各国政府和企业在应对跨境网络威胁时,缺乏统一的漏洞识别标准,可能导致响应效率下降。

业内专家呼吁,应将CVE项目转型为由全球社区共同维护的开放平台,减少对单一政府资助的依赖,确保其作为全球网络安全基础设施的稳定性和中立性。


04

结语


CVE项目的未来走向对全球网络安全生态系统至关重要。此次资助危机虽暂时化解,但也提醒我们,关键的网络安全基础设施需要多元化、可持续的支持机制。推动CVE项目向社区驱动的独立模式转型,可能是确保其长期稳定运行的关键一步。

信息补充:中国漏洞信息平台CNVD和CNNVD

CNVD(国家信息安全漏洞共享平台)

  • 全称:China National Vulnerability Database

  • 主管单位:国家计算机网络应急技术处理协调中心(CNCERT),隶属于网信办。

  • 成立时间:2009年。

  • 主要职责

    • 收集、验证和共享国内外信息系统和软件产品的安全漏洞信息。

    • 联合政府部门、运营商、安全厂商和科研机构,建立统一的漏洞收集、预警发布及应急处置体系。

    • 提升我国在安全漏洞方面的整体研究水平和预防能力。

  • 服务对象:政府部门、重要信息系统用户、基础电信运营商、网络安全厂商、软件厂商、科研机构和公众用户。

  • 官网https://www.cnvd.org.cn


CNNVD(中国国家信息安全漏洞库)


  • 全称:China National Vulnerability Database of Information Security

  • 主管单位:中国信息安全测评中心(CNITSEC)

  • 成立时间:2009年10月18日。

  • 主要职责

    • 负责建设和运维国家级信息安全漏洞数据管理平台。

    • 开展漏洞分析和风险评估,支持国家信息安全保障工作。

    • 通过自主挖掘、社会提交、协作共享、网络搜集以及技术检测等方式,收集和处理各类安全漏洞信息。

  • 服务对象:国家机关、行业用户、安全厂商、高校和科研机构等。

  • 官网http://www.cnnvd.org.cn

CNVD 和 CNNVD 都是我国国家级的漏洞信息平台,但由于主管单位和服务对象的不同,二者在职责和功能上有所侧重。CNVD 更侧重于漏洞信息的共享与应急响应,服务对象更广泛;而 CNNVD 更注重漏洞的深入分析与风险评估,主要服务于国家安全相关部门和行业用户。这两个平台共同构建了中国的信息安全漏洞管理体系,为国家的信息安全保障提供了有力支持。