25年漏洞追蹤體系即將終結(jié)

美國非營利研發(fā)組織MITRE宣布，其與美國國土安全部（DHS）簽訂的"通用漏洞披露（CVE）"數(shù)據(jù)庫維護合同將于2025年4月16日午夜到期。這個運行25年的項目作為網(wǎng)絡(luò)安全防御體系的核心支柱，因DHS未說明具體原因拒絕續(xù)約而面臨終止。

MITRE國土安全中心主任Yosry Barsoum在致CVE委員會的信函中證實："2025年4月16日（周三），MITRE用于開發(fā)、運營和現(xiàn)代化CVE?項目及相關(guān)計劃（如通用缺陷枚舉CWE?項目）的資金將終止。政府仍在大力支持MITRE在項目中的角色，MITRE也始終將CVE視為全球公共資源。"

業(yè)界痛斥"悲劇性決定"

蘭德公司高級政策研究員Sasha Romanosky將CVE項目的終結(jié)稱為"悲劇"，這一觀點得到眾多網(wǎng)絡(luò)安全專家的認(rèn)同。他表示："CVE編號及軟件版本漏洞分配是整個漏洞生態(tài)系統(tǒng)的基石。失去它，我們將無法追蹤新發(fā)現(xiàn)漏洞、評估嚴(yán)重性、預(yù)測利用風(fēng)險，更無法做出最佳修復(fù)決策。"

Bitsight首席科學(xué)家Ben Edwards表示："這令人深感遺憾。CVE是絕對值得持續(xù)資助的寶貴資源，不續(xù)約是個錯誤決策。"他補充道："希望中斷只是暫時的。若合同最終未能續(xù)簽，生態(tài)系統(tǒng)中其他利益相關(guān)方或許能接手MITRE的工作。得益于該系統(tǒng)的聯(lián)邦架構(gòu)和開放性，這種過渡存在可能，但轉(zhuǎn)移運營主體必將充滿挑戰(zhàn)。"

全球網(wǎng)絡(luò)安全基石崩塌

MITRE的CVE項目是全球網(wǎng)絡(luò)安全生態(tài)的基礎(chǔ)支柱，已成為識別漏洞和指導(dǎo)防御者實施漏洞管理的事實標(biāo)準(zhǔn)。它為供應(yīng)商產(chǎn)品提供核心數(shù)據(jù)支撐，涉及漏洞管理、網(wǎng)絡(luò)威脅情報、安全信息與事件管理（SIEM）、終端檢測與響應(yīng)（EDR）等多個領(lǐng)域。

盡管美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）通過國家漏洞數(shù)據(jù)庫（NVD）對CVE記錄進行補充，網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）也因NVD資金短缺啟動"漏洞增強"計劃協(xié)助完善記錄，但MITRE始終是CVE記錄的原始發(fā)布者和安全缺陷識別的主要來源。

安全項目Security Errata首席安全官、前CVE委員會成員Brian Martin在LinkedIn警告："若MITRE資金鏈斷裂，將立即引發(fā)全球范圍的連鎖反應(yīng)——首先，聯(lián)邦模型和CVE編號機構(gòu)（CNA）無法再分配ID并提交MITRE快速發(fā)布；其次，這直接動搖本已舉步維艱的NVD數(shù)據(jù)庫根基（當(dāng)前積壓超3萬個未處理漏洞，另有8萬個被'暫緩'分析）；再者，所有依賴CVE的廠商需另尋情報源；最后，各國CERT機構(gòu)將失去免費漏洞情報渠道。"

預(yù)算削減背后的政治因素

在持續(xù)資助這個備受推崇的項目25年后，DHS突然終止合同的原因尚不明確。有分析指出，特朗普政府通過埃隆·馬斯克主導(dǎo)的"政府效能改革"計劃大幅削減財政支出，網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）成為重災(zāi)區(qū)——盡管該局已經(jīng)歷兩輪裁員，近40%（約1300名）員工仍面臨解雇。但知情人士透露，相比聯(lián)邦政府其他部門的預(yù)算削減，維持CVE項目的開支微不足道，"根本不會造成財政壓力"。

后續(xù)影響與行業(yè)應(yīng)對

接近CVE項目的消息人士稱，自4月15日午夜起，MITRE將停止更新漏洞數(shù)據(jù)庫（歷史記錄仍存于GitHub）。真正的懸念在于私營領(lǐng)域能否出現(xiàn)替代方案。

威脅情報公司VulnCheck研究員Patrick Garrity表示："在NVD數(shù)據(jù)庫去年崩潰后，當(dāng)前漏洞生態(tài)系統(tǒng)本就脆弱。CVE項目若受影響，將對防御者和安全社區(qū)造成嚴(yán)重傷害。"該公司已提前預(yù)留1000個2025年CVE編號，承諾繼續(xù)為社區(qū)提供服務(wù)。

CISA發(fā)言人向CSO表示："作為CVE項目主要資助方，我們正緊急采取措施減輕影響，維護全球依賴的CVE服務(wù)。"該程序被政府和產(chǎn)業(yè)界共同用于披露、分類和共享可能危及國家關(guān)鍵基礎(chǔ)設(shè)施的技術(shù)漏洞信息。