美国政府已削减对CVE数据库的资助,该数据库用于追踪操作系统及软件的安全漏洞。这一变动将加大苹果公司监控和修复软件问题的难度。
-xl-xl.jpeg)
作为现代网络安全体系的重要组成部分,通用漏洞披露(CVE)数据库汇集了操作系统与应用程序中可能被黑客及恶意软件利用的安全漏洞信息。本周二,非营利性国防机构MITRE公司(米特公司)宣布其维护CVE数据库的资金将于周三到期,同时失效的还包括通用缺陷枚举(CWE)项目的资金支持。
美国网络安全与基础设施安全局(CISA)向路透社证实合约即将终止,其上级主管部门国土安全部原本负责该合约的资金供给。CISA表示正努力减轻影响,尽可能维持CVE服务运转,但未透露是否会正式接管该数据库。
合约终止原因尚未公开,外界推测可能与埃隆·马斯克(Elon Musk)主导的DOGE服务公司推行的成本削减计划有关。
作为安全生态系统的核心环节,CVE数据库是苹果公司持续关注的重要资源。iOS与macOS的诸多安全更新都参照CVE条目,帮助研究人员掌握漏洞修复动态。这个开发者与安全专家共享的中央数据库有效避免了重复收录,促进协同研究,现已成为安全行业引用漏洞的标准方式。
资金断供立即引发安全研究界的强烈反响。前CISA局长珍·伊斯特利(Jean Easterley)在领英发文称,CVE数据库可能关闭将严重影响商业风险管控与国家安全。她将之比作网络安全的杜威十进分类法,其缺失将造成深远影响。
“就像图书管理员在杂乱无章的图书馆里找书,网络安全专家将不得不在不了解具体威胁的情况下防御系统。”伊斯特利警告称,CVE的消失意味着数据泄露与勒索软件风险激增、安全成本上升,以及消费者与监管机构信任度下降。
计算机漏洞历史学家布莱恩·马丁(Brian Martin)指出这将产生“即时连锁反应”,重创全球漏洞管理。他表示计算机应急响应小组(CERTs)将失去重要的漏洞情报来源,企业安全管理系统也将遭受“迅速而剧烈的冲击”。
