摘要:美国网络安全和基础设施安全局(CISA)已与MITRE公司续签合同,确保全球网络安全基石——通用漏洞披露(CVE)项目得以持续运行。
01
资金危机导致停摆风险
危机源于MITRE公司确认其与美国国土安全部(DHS)签订的CVE项目运营合同将于2025年4月16日到期且未获续签。这一消息在依赖CVE作为全球漏洞管理参考标准的网络安全界引发震动。专家警告称,项目停摆将破坏国家漏洞数据库、削弱安全公告效力,并阻碍全球工具厂商和事件响应人员的工作。面对到期危机,"CVE基金会已正式成立,旨在保障通用漏洞披露(CVE)项目的长期连续性、稳定性和独立性。"MITRE公司副总裁兼国土安全中心主任Yosry Barsoum警告称:"如果服务中断,我们预计将对CVE产生多重影响,包括国家漏洞数据库和公告的退化、工具厂商的运作受阻、事件响应操作瘫痪,以及各类关键基础设施遭受冲击。"“尊敬的CVE董事会成员:特此告知关于MITRE持续支持CVE项目的重要潜在问题。
2025年4月16日(周三),当前支持MITRE开发、运营及现代化CVE与CWE(Common Weakness Enumeration,通用缺陷枚举)等项目的合约渠道即将到期。政府正全力确保MITRE继续承担项目支持职能。
若服务中断,预计将对CVE体系产生多重影响,包括国家漏洞数据库及公告系统退化、安全工具厂商受损、事件响应受阻,以及各类关键基础设施面临风险。
MITRE始终致力于将CVE作为全球资源维护。感谢各位董事会成员的长期合作。”
02
最后时刻的紧急拨款
作为CVE项目的主要资助方,CISA在周二深夜——距离项目到期仅剩数小时之际,宣布延长MITRE的CVE项目合约11个月,确保漏洞追踪服务持续运行。03
关于项目独立性的讨论
此次危机重新引发了关于CVE等全球依赖资源仅由单一政府资助方支持的可持续性和中立性的讨论。据悉,部分CVE委员会成员曾提议将CVE计划剥离为独立非营利基金会,以确保项目的长期稳定性和公正性。根据Security Affairs的最新消息,CVE 基金会已成立,以促进该计划的独立性。新成立的CVE基金会表示:"基金会的成立标志着消除漏洞管理生态单点故障的重要进展,确保CVE计划持续作为全球信任的社区驱动项目。对国际网络安全界而言,此举为建立符合当今威胁态势全球特性的治理体系提供了契机。"来源:FreeBuf