25年漏洞追蹤體系即將終結(jié)

美國(guó)非營(yíng)利研發(fā)組織MITRE宣布，其與美國(guó)國(guó)土安全部（DHS）簽訂的"通用漏洞披露（CVE）"數(shù)據(jù)庫(kù)維護(hù)合同將于2025年4月16日午夜到期。這個(gè)運(yùn)行25年的項(xiàng)目作為網(wǎng)絡(luò)安全防御體系的核心支柱，因DHS未說(shuō)明具體原因拒絕續(xù)約而面臨終止。

MITRE國(guó)土安全中心主任Yosry Barsoum在致CVE委員會(huì)的信函中證實(shí)："2025年4月16日（周三），MITRE用于開(kāi)發(fā)、運(yùn)營(yíng)和現(xiàn)代化CVE?項(xiàng)目及相關(guān)計(jì)劃（如通用缺陷枚舉CWE?項(xiàng)目）的資金將終止。政府仍在大力支持MITRE在項(xiàng)目中的角色，MITRE也始終將CVE視為全球公共資源。"

業(yè)界痛斥"悲劇性決定"

蘭德公司高級(jí)政策研究員Sasha Romanosky將CVE項(xiàng)目的終結(jié)稱為"悲劇"，這一觀點(diǎn)得到眾多網(wǎng)絡(luò)安全專家的認(rèn)同。他表示："CVE編號(hào)及軟件版本漏洞分配是整個(gè)漏洞生態(tài)系統(tǒng)的基石。失去它，我們將無(wú)法追蹤新發(fā)現(xiàn)漏洞、評(píng)估嚴(yán)重性、預(yù)測(cè)利用風(fēng)險(xiǎn)，更無(wú)法做出最佳修復(fù)決策。"

Bitsight首席科學(xué)家Ben Edwards表示："這令人深感遺憾。CVE是絕對(duì)值得持續(xù)資助的寶貴資源，不續(xù)約是個(gè)錯(cuò)誤決策。"他補(bǔ)充道："希望中斷只是暫時(shí)的。若合同最終未能續(xù)簽，生態(tài)系統(tǒng)中其他利益相關(guān)方或許能接手MITRE的工作。得益于該系統(tǒng)的聯(lián)邦架構(gòu)和開(kāi)放性，這種過(guò)渡存在可能，但轉(zhuǎn)移運(yùn)營(yíng)主體必將充滿挑戰(zhàn)。"

全球網(wǎng)絡(luò)安全基石崩塌

MITRE的CVE項(xiàng)目是全球網(wǎng)絡(luò)安全生態(tài)的基礎(chǔ)支柱，已成為識(shí)別漏洞和指導(dǎo)防御者實(shí)施漏洞管理的事實(shí)標(biāo)準(zhǔn)。它為供應(yīng)商產(chǎn)品提供核心數(shù)據(jù)支撐，涉及漏洞管理、網(wǎng)絡(luò)威脅情報(bào)、安全信息與事件管理（SIEM）、終端檢測(cè)與響應(yīng)（EDR）等多個(gè)領(lǐng)域。

盡管美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）通過(guò)國(guó)家漏洞數(shù)據(jù)庫(kù)（NVD）對(duì)CVE記錄進(jìn)行補(bǔ)充，網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）也因NVD資金短缺啟動(dòng)"漏洞增強(qiáng)"計(jì)劃協(xié)助完善記錄，但MITRE始終是CVE記錄的原始發(fā)布者和安全缺陷識(shí)別的主要來(lái)源。

安全項(xiàng)目Security Errata首席安全官、前CVE委員會(huì)成員Brian Martin在LinkedIn警告："若MITRE資金鏈斷裂，將立即引發(fā)全球范圍的連鎖反應(yīng)——首先，聯(lián)邦模型和CVE編號(hào)機(jī)構(gòu)（CNA）無(wú)法再分配ID并提交MITRE快速發(fā)布；其次，這直接動(dòng)搖本已舉步維艱的NVD數(shù)據(jù)庫(kù)根基（當(dāng)前積壓超3萬(wàn)個(gè)未處理漏洞，另有8萬(wàn)個(gè)被'暫緩'分析）；再者，所有依賴CVE的廠商需另尋情報(bào)源；最后，各國(guó)CERT機(jī)構(gòu)將失去免費(fèi)漏洞情報(bào)渠道。"

預(yù)算削減背后的政治因素

在持續(xù)資助這個(gè)備受推崇的項(xiàng)目25年后，DHS突然終止合同的原因尚不明確。有分析指出，特朗普政府通過(guò)埃隆·馬斯克主導(dǎo)的"政府效能改革"計(jì)劃大幅削減財(cái)政支出，網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）成為重災(zāi)區(qū)——盡管該局已經(jīng)歷兩輪裁員，近40%（約1300名）員工仍面臨解雇。但知情人士透露，相比聯(lián)邦政府其他部門的預(yù)算削減，維持CVE項(xiàng)目的開(kāi)支微不足道，"根本不會(huì)造成財(cái)政壓力"。

后續(xù)影響與行業(yè)應(yīng)對(duì)

接近CVE項(xiàng)目的消息人士稱，自4月15日午夜起，MITRE將停止更新漏洞數(shù)據(jù)庫(kù)（歷史記錄仍存于GitHub）。真正的懸念在于私營(yíng)領(lǐng)域能否出現(xiàn)替代方案。

威脅情報(bào)公司VulnCheck研究員Patrick Garrity表示："在NVD數(shù)據(jù)庫(kù)去年崩潰后，當(dāng)前漏洞生態(tài)系統(tǒng)本就脆弱。CVE項(xiàng)目若受影響，將對(duì)防御者和安全社區(qū)造成嚴(yán)重傷害。"該公司已提前預(yù)留1000個(gè)2025年CVE編號(hào)，承諾繼續(xù)為社區(qū)提供服務(wù)。

CISA發(fā)言人向CSO表示："作為CVE項(xiàng)目主要資助方，我們正緊急采取措施減輕影響，維護(hù)全球依賴的CVE服務(wù)。"該程序被政府和產(chǎn)業(yè)界共同用于披露、分類和共享可能危及國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的技術(shù)漏洞信息。